ペネトレーションテストの教科書を読んだ
読んだ動機・目的
- セキュリティテストの中でWebアプリケーションの脆弱性診断については、自分でも実施できるレベルになっているが、ペネトレーションテストについては概要レベルでしか理解できていなかったため
- 実際の攻撃では具体的にどのようなツールを使っているのか興味があったため
- セキュリティ対策をする上でも、実際にどのようなツールを使って攻撃されているのかがわかると一歩踏み込んで考えられると思ったから
書籍の目次
以下のURLをご参照ください https://scan.netsecurity.ne.jp/article/2021/08/04/46074.html
なるほどーと思ったツールや記事
evilginx2
フィッシングツール。リバースプロキシとして動作する。 二要素認証のフィッシングを行うことが可能
nuclei
テンプレートを用いたセキュリティスキャナー。既知の脆弱性や設定不備がないかをチェックすることができる。
git-all-secrets
指定した組織、組織の属するユーザのリポジトリ、gistから機密情報を探索するツール
metasploit
サーバサイドテンプレートインジェクション テンプレートエンジンの特定方法
以下に記載されているフローで、どのテンプレートエンジンが使われているのかが特定できるとのこと。
まとめ
ペネトレーションテストではどのような工程を踏んで行われているのか理解できたとともに、実際に使われているツール、またその使い方の概要を知ることができセキュリティ、特に攻撃に関する知見が広がって良かった。 今回は、一気に流し読みしてしまったので、次は各ツールを実際に使って試していこうと思う。