この前、Google code にあるfuzzdbを使ってみました。
fuzzdbとは、Webアプリケーションにあるさまざまな脆弱性について、検出するためのパターンをリスト化したものです。
これらのデータをツールの入力値に活用すれば、診断スキャナーとして利用できますね。
それだけでなく、個々パターンを見ることで、手動の診断をする際にとても参考になることが多くありました。
とても便利なデータなので今回紹介したいと思います。
Last time, I got a useful tool "fuzzdb" on the Google code.
Last time, I got a useful tool "fuzzdb" on the Google code.
"fuzzdb" is vector lists detecting many vulnerabilities in the Web application.
If you use them as a attacking signature, this tool be on good scanners.
and more, by looking over individual patterns, I found many helpful tips on the scanning of the Web application pen-testing.
That's why this lists is very helpful tools I wanna show you.
①
以下のURLにアクセスします。
Access the following URL.
②
ダウンロードしたディレクトリを展開します。
Decompress and expand the files.
③
展開後のディレクトリ構成は以下のようになっています。
Directory trees of decompressed file are the following.
④
今回は、attack-payloads の中をみてみましょう。
This time, I'll show you inside the "attack-payloads" directory.
さまざまな攻撃パターンが種類ごとまとめられています。
例えば、xssはクロスサイトスクリプティングの攻撃パターン、sql、ldap、xpathはそれぞれのインジェクション攻撃でのパターンとなっています。
You can find many attack vectors in it.
For example, the directory of "xss" is list of xss attack patterns, and you know, "sql"directory, "ladp"directory, and "xpath" directory has lists of injection attacks on each.⑤
以下はxssの攻撃パターンの内容です。
The following lists are patterns of XSS attacks.
非常に多くのパターンが書かれてあります。
Probably, you can find lots of patterns in the lists.
⑥
もう1つ、disclosure-directory をみてみましょう。
More, Look at the "disclosure-directory".
source-directory-file-indexing-cheatsheet.html を見てみます。
And then, we'll browse "source-directory-file-indexing-cheatsheet.html".
⑦
ここには、サーバソフトウェアで発見されている既知の脆弱性を利用し、ソースコード、ファイルなどを発見する方法が書かれてありました。1つにまとめられてあり、とても参考になります。
In this contents show how to detect source code on the application, some default files and directories with known vulnerabilities.
They are summarized on one page, so It's really useful.
fuzzdb、まだいろんな役立つ情報があるようです。
いろいろ試してみますのでまた紹介します。
Well,
Today, I have introduced some functions on "fuzzdb", but just a detail.
Of course I'm going to use other functions later, The results will show up someday.Thanks!
0 件のコメント:
コメントを投稿