2013年 セキュリティツールのベスト10が発表されていた

ToolsWatch.orgというサイトで、2013年のセキュリティツール投票が行われていたようで、ベスト10が発表されていました。

2013 Top 10 Security Tools as voted by ToolsWatch.org Users and Readers

http://www.toolswatch.org/2013/12/2013-top-security-tools-as-voted-by-toolswatch-org-readers/

いくつかのツールは使ったことがありましたが、知らないツールもたくさんあって面白かったのでメモしておきます。この記事に載ってた各ツールの説明文は、各公式サイトの文章がそのまま引用されているみたいです。ここではそれを適当に翻訳しておきます(間違っていても責任は持ちません)。

以下、1位から。(元記事にはこれ以外(11位以下?)のツールも載っていた)

  • OWASP ZAP – Zed Attack Proxy Project
  • BeEF – The Browser Exploitation Framework Project
  • Burp Suite
  • PEStudio
  • OWASP Xenotix
  • Lynis The Hardening Unix Tool
  • Recon-NG The Web Reconnaissance Framework
  • Suricata The Network IDS/IPS
  • WPScan WordPress Security Tool
  • O-SAFT OWASP SSL Advanced Forensic Tool

1. OWASP ZAP – Zed Attack Proxy Project

The Zed Attack Proxy (ZAP)は、Webアプリケーションの脆弱性を見付けるための簡単に使える統合ペネトレーションテストツールです。幅広いセキュリティの経験を持った人々に使って貰えるようにデザインされており、またペネトレーションテストをしたことがない開発者や機能テスターにとっても理想的なものになっています。
ZAPは手動で脆弱性を見付けることができるツール群はもちろんのこと、自動スキャナーも提供します。

Link » https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

2. BeEF – The Browser Exploitation Framework Project

BeEF(The Browser Exploitation Framework)はWebブラウザに焦点を合わせたペネトレーションテストツールです。
クライアント(モバイルクライントも含む)に対するWeb感染型攻撃の関心が高まる中、クライアント側の攻撃媒体(security vectors)を使うことによって、プロのペネトレーションテスターが、ターゲット環境の実際のリスクレベル(security posture)を評価することを可能にします。他のセキュリティフレームワークと違い、BeEFは強化されたネットワーク境界やクライアントシステムを無視して、開かれたドア(Webブラウザ)というコンテキスト内のエクスプロイタビリティ(脆弱性の利用されやすさ)を調査します。BeEFは1つもしくは複数のWebブラウザをフックして、直接的なコマンドモジュールを実行する足がかりとして利用し、ブラウザコンテキスト内からシステムに対して更なる攻撃を行います。

Link » http://beefproject.com/

3. Burp Suite

Burp SuiteはWebアプリケーションのセキュリティテストを行うための統合プラットフォームです。アプリケーションの攻撃ポイントの初期マッピング及び分析処理から、セキュリティ脆弱性の発見及び攻撃まで、テスト全体の行程をサポートするためにいろいろなツールがシームレスに協調して動作します。

Burpは仕事をより早く効率的に、楽しいものにするために、高度な手動テクニックと最先端の自動化を結合させるというような自由な操作が可能です。

Link » http://portswigger.net/burp/

4. PEStudio

PeStudioはWindowsの実行バイナリの静的調査を実行するフリーなツールです。PeStudioで分析中のファイルは実行されません。それゆえ、出処の判らない実行ファイルやマルウェアでさえもリスクなしで評価できます。PeStudioはどんなWindowsプラットフォームでも動作し完全にポータブルです。インストールの必要はありません。PeStudioはシステムを変更しませんし、何も残しません。

Link » http://www.winitor.com/

5. OWASP Xenotix

OWASP Xenotix XSS Exploit Framework は高度なXSS脆弱性検知と脆弱性攻撃のフレームワークです。スキャナに埋め込まれたトリプルブラウザエンジン(Trident, WebKit, Gecko)と共に、Zero False Positive(誤検出ゼロ)スキャン結果を提供します。効果的なXSS脆弱性検知とWebアプリケーションファイアウォールのための1500以上にのぼる典型的なXSSペイロード(世界で2番目に多い)を持っています。ターゲット調査のための機能豊富な情報収集モジュールも持っています。また、この脆弱性攻撃フレームワークはペネトレーションテストと概念実証のための非常に攻撃的なXSS脆弱性攻撃モジュールも持っています。

Link » http://opensecurity.in/owasp-xenotix-xss-exploit-framework-v4-5-relesed/

6. Lynis The Hardening Unix Tool

LynisはUnixとLinuxを監査して堅牢にするセキュリティツールです。インストールされているソフトウェアを探し、標準へのコンプライアンスを究明するなど多くのセキュリティ管理チェックを行うことにより、システムをスキャンします。また、セキュリティの問題や設定の間違いを検知します。スキャンの最後には、あなたのシステムの改善を助けるための警告と提案を提供します。

Link » http://cisofy.com/lynis/

7. Recon-NG The Web Reconnaissance Framework

Recon-ngはPythonで書かれており、フル機能を備えたWeb調査のフレームワークです。Recon-ngは、独立したモジュール、データベースインタラクション、組み込みの便利機能、対話式のヘルプ、コマンド補完を備え、オープンソースのWebをベースとした調査が素早く徹底的に実施されるパワフルな環境を提供します。
Recon-ngは、Metasploit Frameworkと似た外観をしており、このため学習曲線を減らしています。しかし、完全に違うものです。Recon-ngはWebベースのオープンソース調査のためだけに設計されており、既存のフレームワークと競争するつもりはありません。もし脆弱性攻撃をしたいのならMetasploit Frameworkを使って下さい。もしソーシャル・エンジニアリングをしたいなら、ソーシャル・エンジニアリング・ツールキットを使って下さい。もし調査をしたいなら、Recon-ngを使って下さい! 詳細は Usage Guide を御覧下さい。

Link » https://bitbucket.org/LaNMaSteR53/recon-ng

8. Suricata The Network IDS/IPS

Suricataは高性能のネットワークIDS, IPS そしてネットワーク監視エンジンです。オープンソースでありコミュニティに所有されており、非営利団体OISFによって運営されています。SuricataはOISFとサポートベンダーによって開発されています。

Link » http://suricata-ids.org/

9. WPScan WordPress Security Tool

WPScanはRubyで書かれており、WordPressのインストールにおいて、既知のセキュリティ脆弱性検知を行うブラックボックスWordPressセキュリティスキャナーです。使用用途は、セキュリティのプロやWordPress管理者が、彼らのWordPressインストールのリスクレベルを評価することです。

Link » http://wpscan.org/

10. O-SAFT OWASP SSL Advanced Forensic Tool

このツールはターゲットホストのSSL証明書情報を一覧表示し、与えられた暗号とSSL設定に沿って、ターゲットホストのSSL接続をテストします。

Link » https://www.owasp.org/index.php/O-Saft

Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*