17
Help us understand the problem. What are the problem?

More than 5 years have passed since last update.

Organization

arachni によるクロスサイトスクリプティングのテスト

最近セキュリティ周りが盛り上がっていて、現場でもセキュリティテストをどうしているのかと話にあがったので調べてみたら、面白いGemsがあったので試してみた記録を共有

公式サイト

こちらを参照 → arachni

arachni のインストール

gems になっているためRubyさえ入っていれば、あとはいつも通り gem install するだけです。

$ gem install arachni

Ruby1.9.3 から対応しているみたいなので、2014/5/12現在の公式のRuby環境には対応しているみたいです。
Ruby2.1.2 で試してみたところインストールは出来ましたが、実行中に落ちるのでRuby2.0ぐらいで試すのが良いかもしれません。
Github上のissuesにはv0.5では対応している雰囲気でしたが、私はまだ試しておりません。

arachni の実行

実行は、arachni コマンドにURLを入力するだけで実行できます。
最初は自分が所持しているJenkinsに対してXSSのテストをしてみましたが、数日程度たっても終了しなかったためある程度大きくなると実行に時間がかかる可能性もあるため注意が必要そうです。

$ arachni http://localhost

arachni にてレポート出力

XSSのテストを実行してくれても見える形にレポートを出力してくれないと上長に提出できない方もいらっしゃると思うので、レポートの出力の仕方は下記となります。

$ arachni -fv http://localhost --report=afr:outfile=test.com.afr
$ arachni --repload=test.com.afr --report=html:outfile=my_report.html

上記を実行するとテストを行ってから afr形式にてレポートを出力し、その後、afr形式をhtml形式にて出力しております。
html形式以外にも下記の形式にならば出力は可能なようです。

・HTML
・Metareport
・Marshal
・YAML
・Arachni

最後に

セキュリティに関してのテストツールは日本語の資料も少なく、情報も少ないと思っていますが、この記事が誰かの役に立ったのならば幸いです。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Sign upLogin
17
Help us understand the problem. What are the problem?