先日、Webアプリケーション脆弱性スキャナ Whitetipの無償配布を開始させて頂きました。早速たくさんのダウンロードありがとうございます。
でもすごく不親切なパッケージなので直感で使ってもらう状況ですが、その結果「誤検出が多いのに取りこぼしが多くて、つかえねー」となってしまうと残念なので、補足説明書いておきます。
自動巡回(クロール)モードはおまけです
Whitetipは元々、Live HTTP Headersで集めたリクエスト情報を元にして検査を行うツールです。
これとは別に、検査対象URLを直接指定して自動巡回検査するモードもありますが、これ実は最近勢いで作った機能です(他のツールは普通にできるよな~みたいな感じで)。これがデフォルトになってるのでアレですけど、本当は簡易テスト向けであり、ほとんど信用できません。HTMLのクロールには限界もあります。
通常はLive HTTP Headersを使って「手動アクセス記録から検査」を使用することを推奨します。
GUIはおまけです
元々はシンプルなCUIプログラム(Rubyスクリプト)だったのでした。レポート生成やGUIは上っ面を良くするために最近になって付けたものなので、ちょっと後付け感が漂ってるかも。
検出結果は、出力ディレクトリ内を直接見てもらったほうが早いです。
過剰検知・誤検知について
Whitetipは全自動ツールではなく、結果は専門家が手作業で分析して判断することを前提としています。情報はすべて出すよう基本的には過剰気味に検知させるというポリシーで調整しています。(ただし今回の無償配布版では一部のデータ出力を省いていることをご了承ください)
検査対象の作りによっては「無効なcharset指定」や「エラーハンドリングの不備」の大量検出で結果が埋め尽くされてしまうことがあります。そのような場合は、検査項目からこれらの項目を外してください。
脆弱性検査は、人の手による細かく地道な手作業が必須。検査ツールはあくまでも支援ツールという位置付けで考えています。
検査対象の443ポートが開いていない場合
「Webサーバのデフォルトファイル」の検査は、443ポートへのアクセスを行うため、検査対象がこのポートが開いていないと検査に異常に時間がかかる場合があります。そのような場合は「Webサーバのデフォルトファイル」を検査項目から外してください。
なぜか、某公立図書館の検索が重いときは、ポートスキャンを受けているようなかんじでふ。
某公立図書館のIPをソースにしてプライベートIPに対する443ポートなどの遮断ログが記録されているの。
図書館のWEBに懐探るような暇人が、いるようにはあまり思えない。やっぱし目がサイトのIPなんて嘘っ子にするのちょちょいな奴さんがあっちこっちにいるのかなぁ。