以下のツールでEC2上に構築したWebアプリケーションの脆弱性診断を行った。

今回は2つのツールを利用した。

実施した脆弱性診断

今回は以下2種類の診断を実施した。

プラットフォーム診断

微妙に人や会社によって定義が違ってそうな気がするが、OSやネットワーク機器に対しての脆弱性診断だと思ってる。 Vulsはおそらくこっちだと思う。

Webアプリケーション診断

名前の通りWebアプリケーションに対しての脆弱性診断。 OWASP ZAPはZAP is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications ということなので、こっちらしい。

使ったツール

OWASP ZAP

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

https://github.com/zaproxy/zap-core-help/wiki

Vuls

https://github.com/future-architect/vuls

Vulnerability scanner for Linux/FreeBSD, agentless, written in golang.　

実施手順

OWASP ZAP

今回は手動で診断を実施した。

以下に今回の手順を記載したが、Proxyとしてテストをする場合はセットアップのコストはほぼかからなかった。

qiita.com

Vuls

公式のドキュメントが丁寧なので、その通りに進めたら完了した。

https://github.com/future-architect/vuls

今回は手動でテストを実施したが、自動的に定期的に実行できる形にして行きたい。

感想

今回使った2つは1〜2日もあれば十分実施できるほどセットアップが楽だったので、初めてサービスを立ち上げる場合など、工数とキャッシュアウトを抑えてセキュリティの不安を取り除きたいという場合は良いのではと思った。

ただ有償の脆弱性診断サービスの診断結果と比較してないので、どれだけ差が出るかはわからない。

センシティブなデータを扱うシステムなど、状況により有償の脆弱性診断を検討した方が良さそう。