読んだ動機・目的

• セキュリティテストの中でWebアプリケーションの脆弱性診断については、自分でも実施できるレベルになっているが、ペネトレーションテストについては概要レベルでしか理解できていなかったため
• 実際の攻撃では具体的にどのようなツールを使っているのか興味があったため
  • セキュリティ対策をする上でも、実際にどのようなツールを使って攻撃されているのかがわかると一歩踏み込んで考えられると思ったから

書籍の目次

以下のURLをご参照ください https://scan.netsecurity.ne.jp/article/2021/08/04/46074.html

なるほどーと思ったツールや記事

evilginx2

フィッシングツール。リバースプロキシとして動作する。 二要素認証のフィッシングを行うことが可能

github.com

nuclei

テンプレートを用いたセキュリティスキャナー。既知の脆弱性や設定不備がないかをチェックすることができる。

github.com

git-all-secrets

指定した組織、組織の属するユーザのリポジトリ、gistから機密情報を探索するツール

github.com

metasploit

ペネトレーションテストツールのデファクトスタンダード。

www.metasploit.com

サーバサイドテンプレートインジェクション テンプレートエンジンの特定方法

以下に記載されているフローで、どのテンプレートエンジンが使われているのかが特定できるとのこと。

portswigger.net

まとめ

ペネトレーションテストではどのような工程を踏んで行われているのか理解できたとともに、実際に使われているツール、またその使い方の概要を知ることができセキュリティ、特に攻撃に関する知見が広がって良かった。 今回は、一気に流し読みしてしまったので、次は各ツールを実際に使って試していこうと思う。