Webスケールの脆弱性調査が可能なオープンソースツール「WARCannon」が公開：Black Hat USA 2021

インターネットを間接的に「grep」することでWeb脆弱性を調査する作業をよりシンプルに、より速く、より安く実行できるオープンソースツール「WARCannon」が公開された。

» 2021年08月06日 11時30分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　サイバーセキュリティツールベンダーのPortSwiggerは2021年8月4日（米国時間）、セキュリティカンファレンス「Black Hat USA 2021」（2021年7月31日～8月5日、米ラスベガスで開催）で公開されたサイバーセキュリティ対策用のツールをブログ記事で紹介した。

　公開れたのはインターネットを間接的に「grep」してWeb脆弱（ぜいじゃく）性を調査する作業をよりシンプルに、より速く、より安く実行できるオープンソースツール「WARCannon」だ。

　WebアプリケーションやWebフレームワーク、オープンソースコンポーネントの欠陥の発見を目指すセキュリティ研究者やバグバウンティ（報奨金）ハンターに向く。WARCannonを使うことで、インターネット全体を対象に正規表現パターンで検索し、脆弱性の指標を調査できる。

低コストな並列処理で課題を解決

　だが、このような調査を実行するには、数百TB（テラバイト）規模の膨大なデータ解析が必要になる。

　WARCannonは、数百のCPUコアを使って、並列WARC（Webアーカイブの保存用ファイルフォーマット）処理を行う。低コスト化を実現するために、Amazon Web Services（AWS）の「スポットフリート」を採用し、同一リージョン内でデータ転送を実行する。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

脆弱性管理を始める前に知っておきたい、脆弱性スキャナーの種類とその役割
自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。初回は、脆弱性スキャナーの種類とその役割について。
そもそも「脆弱性」とは何なのか――WannaCry後＆リモートワーク時代の脆弱性対策
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー／管理システムの有効性を説く連載。初回は、脆弱性とは何か、今注目すべき理由について。
狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは
当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。第1回と第2回ではWebアプリケーションの攻撃対象となる領域と、領域ごとの被害例に加えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスについて簡単に整理した。今回は、Webアプリケーション側で可能な対策について脆弱性への対応とWAFを中心に解説していく。