Googleが公開している脆弱性スキャナ「skipfish」をWindowsマシンで使用する機会があったので、手順をまとめておきます。
Windowsでskipfishを使用するには「cygwin」をインストールしておく必要がありますので、その手順についても簡単に説明します。
Windowsでskipfishを使用するには「cygwin」をインストールしておく必要がありますので、その手順についても簡単に説明します。
■「cygwin」のインストール
cygwinは以下の手順でインストールします。
1.以下のサイトからcygwinの setup.exeファイルをダウンロードする。
http://www.cygwin.com/
2.setup.exe を実行してインストールを開始し、「Select Packages」画面まで進む。
※最初の画面から「Choose A Download Site」画面までは、基本的にデフォルト設定のまま「次へ」を押せば問題ない。
必要であれば設定を変更すること。
※ 「Choose A Download Site」画面では、「.jp」で終わるサイトを選んだ方がよい。
3.「Select Packages」画面にて、デフォルトで選択されている項目に加えて下記のパッケージを選択して「次へ」を押す。
※下記のパッケージを選択 した際に、他の幾つかのパッケージも同時に選択されるので、それらもインストールしておく。
・Devel / make
・Devel / gcc
・Devel / openssl-devel
・Devel / zlib-devel
・Libs / libidn-devel
これでcygwinのインストールは完了です。
■skipfishの準備
続い てskipfishを使用するための準備です。
1.以下のサイトからskipfishをダウンロードする。
http://code.google.com/p/skipfish/
2. ダウンロードしたファイルを解凍し、skipfishフォルダを適当な場所に保存する。
3.cygwinを起動してskipfishフォ ルダを保存した場所に移動し、makeコマンドを実行する。
makeが成功すると、skipfishフォルダ内にskipfish.exe ファイルが作成される。
※下図はDドライブ直下にskipfishフォルダを保存し、makeを実行した場合。
4.skipfish フォルダのdictionariesから脆弱性スキャンに使用する辞書ファイルを一つ選択し、
skipfish.exeと同じフォルダ内にコ ピーして「skipfish.wl」に名前を変更する。
以上でskipfishを使用するための準備は完了です。
あ とはcygwin上で以下のようなコマンドを実行することで、脆弱性スキャンを実行できます。
./skipfish -o output_dir http://example.com/
【注意!】
「http://example.com/」の部分には調査したいサイトのURLを 入力する。
自分が管理するサイトか、調査の許可をもらっているサイトでのみ実行すること。
上記コマンドを実 行した場合、skipfishフォルダ内に「output_dir」フォルダが作成され、そこにスキャン結果が保存されます。
cygwinは以下の手順でインストールします。
1.以下のサイトからcygwinの setup.exeファイルをダウンロードする。
http://www.cygwin.com/
2.setup.exe を実行してインストールを開始し、「Select Packages」画面まで進む。
※最初の画面から「Choose A Download Site」画面までは、基本的にデフォルト設定のまま「次へ」を押せば問題ない。
必要であれば設定を変更すること。
※ 「Choose A Download Site」画面では、「.jp」で終わるサイトを選んだ方がよい。
3.「Select Packages」画面にて、デフォルトで選択されている項目に加えて下記のパッケージを選択して「次へ」を押す。
※下記のパッケージを選択 した際に、他の幾つかのパッケージも同時に選択されるので、それらもインストールしておく。
・Devel / make
・Devel / gcc
・Devel / openssl-devel
・Devel / zlib-devel
・Libs / libidn-devel
これでcygwinのインストールは完了です。
■skipfishの準備
続い てskipfishを使用するための準備です。
1.以下のサイトからskipfishをダウンロードする。
http://code.google.com/p/skipfish/
2. ダウンロードしたファイルを解凍し、skipfishフォルダを適当な場所に保存する。
3.cygwinを起動してskipfishフォ ルダを保存した場所に移動し、makeコマンドを実行する。
makeが成功すると、skipfishフォルダ内にskipfish.exe ファイルが作成される。
※下図はDドライブ直下にskipfishフォルダを保存し、makeを実行した場合。
4.skipfish フォルダのdictionariesから脆弱性スキャンに使用する辞書ファイルを一つ選択し、
skipfish.exeと同じフォルダ内にコ ピーして「skipfish.wl」に名前を変更する。
以上でskipfishを使用するための準備は完了です。
あ とはcygwin上で以下のようなコマンドを実行することで、脆弱性スキャンを実行できます。
./skipfish -o output_dir http://example.com/
【注意!】
「http://example.com/」の部分には調査したいサイトのURLを 入力する。
自分が管理するサイトか、調査の許可をもらっているサイトでのみ実行すること。
上記コマンドを実 行した場合、skipfishフォルダ内に「output_dir」フォルダが作成され、そこにスキャン結果が保存されます。
