脆弱性診断ツールskipfishを使ってみて困ったこと

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

無料の脆弱性診断ツールの検証を行いました

脆弱性診断ツール:skipfish

skipfishとは、googleが開発しているWebアプリケーション向けの脆弱性診断ツールです。
診断後にHTML形式でレポートを出力してくれるので、ブラウザを使って診断結果を確認できます。

さて、こちらを利用してみて困ったことを2点挙げます。

1.より安価に実行したく、AWSのt2.microで実施したところ、24時間たっても終わりませんでした。
ホームページの作り・ページの多さにもよりますが、残念ながら中断することにしました。
CPUの処理能力が必要となりますので、T2タイプのインスタンスでは難しいようです。C4タイプがお勧めです。

2.入力フォームの内容をメールで受け取るようにしていると、大量のメールが届き、メールサーバの負荷が上昇してしまう
XSSやSQLインジェクションの検査をしてくれます。様々な文字列を次々にチェックしているため、何千通ものメールが届いてしまいます。
ウェブサーバに対して診断しているのに、なんでメールサーバが・・・というよ
うに、想定外のサーバに負荷をかけてしまっていることがあります。
入力内容のメールをメーリングリスト宛にしていると、無駄なメールが大量に大
勢に配信されるため、メールサーバの負荷が上昇し、本当に受け取りたいメール
がなかなか受信できなかったり配送遅延が起こります。
※顧客宛にメルマガを送るような管理画面に対して実行し、同様のことが起こると、顧客に無駄なメールが大量に配信されてしまいクレームになりかねません。

非常に有効なツールではあるものの、上記のようなことに十分注意して使いましょう。

投稿者プロフィール

kobata
オンプレからクラウドまで幅広く見てるサーバエンジニアです。
得意分野は、AWSと監視ツール!開発は勉強中です!!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

Time limit is exhausted. Please reload CAPTCHA.