セキュリティ診断の方法を紹介しました。
しかし、このskipfishは実際に利用してみると診断に時間がかかり、なかなか終了しません。
そこで、アクセスログ等でアクセス内容を確認してみると、延々と、膨大な辞書ファイル上の
キーワードに対して、それらをファイル名としたURLのチェックをしていました。
このURLチェックは、実行時間を考えると現実的ではないので、下記のようなオプションで、
このチェックを行わないようにすることができます。
./skipfish -LVY -W /dev/null -o admin http://www.suz-lab.com/オプションは下記の通りです。
-L: do not auto-learn new keywords for the site
-V: do not update wordlist based on scan results
-Y: do not fuzz extensions in directory brute-force
-W wordlist: load an alternative wordlist (skipfish.wl)
(今回は辞書ファイルを使わないように /dev/null を指定しています)
これにより、キーワードによるURLチェックをスキップすることができ、
セキュリティ診断を短時間で実施することが可能です。
ディレクトリ数が少ないサイトならいいのですが。
こちらの記事はなかの人(suz-lab)監修のもと掲載しています。
元記事は、こちら
0 コメント:
コメントを投稿