今回は、ログイン後のページに対してもセキュリティ診断をしてみます。
方法は、ログイン後の埋めこまれているCookieをskipfish実行時に指定するのみになります。
Cookieの確認は下記のようにChromeなどのブラウザで行うことができます。
上記で確認した、ログイン維持に利用しているCookieを、下記のようにskipfish実行時に
指定(-C CAKEPHP=xxxxxxxxxxxxxxxxxxxxxxxxxx)します。
# ./skipfish -LVY -W /dev/null -C CAKEPHP=xxxxxxxxxxxxxxxxxxxxxxxxxx \ > -X /login -X /logout -o portal-auth http://www.suz-lab.com/ここで、-Xオプションは除外するパスを指定するもので、今回はセッションがクリアされてしまう、
ログイン(/login)とログアウト(/logout)を除外するようにしています。
セキュリティ診断対象のWebサーバのサクセスログに、ログインしていないとアクセスできないページが
出力されていれば、成功です。
こちらの記事はなかの人(suz-lab)監修のもと掲載しています。
元記事は、こちら
0 コメント:
コメントを投稿