前回はtenable.ioを使ったAgent診断を実施してみましたので、今回はWeb Application Scanningを利用してみました。OWASPトップ10のリスクから脆弱なWebアプリのコンポーネントまで、Web AppScanningは包括的で正確な脆弱性スキャンを提供してもらえるようなので、早速試してみました。前回の記事はこちらか。
1. 環境
- 診断対象:以前ご紹介したGuacamoleサーバ(1.4.0)
- OS:Centos7.9
- Kernel: 3.10.0-1160.53.1.el7.x86_64
2. 事前準備
tenable.io管理画面左上メニューからWeb App Scanning - Scanをクリックします。
画面右上のCreate Scanをクリックします。
画面中央下左よりにある「Scan」をクリックします。
Scan名の入力と、TATERGETSに対象のURLを入れて、Addボタンをクリックします。
画面左にある「CREDENTIALS」をクリックし、画面中にある「Add Credensials」の+
+マークをクリックします。
画面右側に下記のような画面が出てきますので、「Web Application Authentication」をクリックします。
画面が遷移新那須。名前とログインページ、パターンなど下記のように設定して「Save」ボタンをクリックします。
「Save&Launch」をクリックします。
2. Scan開始
しばらくするとScanが開始されます。
ログを見てみると確かにスキャンされている事が分かります。
3. 結果の確認
Agent診断同様に結果を確認する事が出来ます。それぞれの項目から状況を確認することが出来ますので、是正処置をしなければ施さなければならない事が分かります。
