始めに

自分はParrot Security OSを仮想環境下で使用しています。その時にBurpSuiteのWebレンダリング機能がうまく機能していなかったため、その解決方法を記事にしました。

始めに

Webアプリケーションの脆弱性診断をする際にプロキシツールを持ちいて診断をしているかと思います。

今回はBurpSuiteとWfuzzのwordlistを用いてSQLインジェクションの脆弱性診断の方法を紹介したいと思います。

始めに

脆弱性診断やペネトレーションでよく話題にあげられるMetasploit Frameworkですが、初心者講座などを見てもコマンドの使い方などが部分的に解説してあるだけで本質的な部分が分かりづらいブログ記事が多かったため、自分が実際に調べていてこれは使えそうだというものを幾つかピックアップしてみました。

Metasploitable3 とは

Metasploitable3はわざと脆弱性をもたせたマシンです。このマシンに対してToolの検証やexploitを行います。

普段ペンテストの勉強などをしている際に、有用なツールを見つけたとしてもぶっつけ本番で行うわけには行きません。
テストをする場所を作り、そこで使い方の勉強をしていったほうがいいです。

Parrot Security OS とは

Parrot Security OSはイタリアで開発が行われている、セキュリティとプライバシーを念頭に置いて設計されたDebianベースのGNU/Linuxです。

hydraとは

Hydraはリモート認証サービスをブルートフォースクラッキングをする際によく用いられているツールになります。ftp,http,https,smbなど様々なプロトコルをサポートしています。
Hydraでは並列処理することにより高速にパスワードクラッキングを行うことができます。

DirBusterとは

DirBusterは、Web/アプリケーションサーバー上のディレクトリとファイル名を総当りで検索するアプリケーションです。Webアプリケーションにはリンクから辿れない数多くのページやアプリケーションが隠されています。DirBusterはこれらを総当りで見つけるためのツールです。