内閣官房情報セキュリティセンター（NISC）から「各専門分野情報共有スキームの連携性及び情報交換モデルに関する検討」の成果としてリスク要件リファレンスモデルに関する報告書が出ています。
これら報告書は先月公開されたようですが、私は昨日参加したイベントで初めて知りました。報告書はまだ一部しか読んでませんが興味深い取り組みだと思います。

ハッカージャパン7月号を読んで知ったのですが、TTSさんの運営しているBLACKOUTが10年ぶりに復活だそうです。
昔はMacintoshのHackingツールなどが紹介されているHackintoshのサイトだったと思いますが、今はInternet Security関連のサイトになっていますね。

NetsparkerというWebアプリケーション脆弱性スキャナがCommunity Editionという無料版を出したみたいなので、暇があればさわってみようと思いつつ手が出ずに放置になっています。
試用した方がメモを載せていますが、結構おもしろそう。

• Webアプリケーションスキャナ NetSparkerに無料のCommunity Editionが出ていた (id:redeelさん)

Google製のActive Webアプリケーションスキャナ。コマンドラインのスキャナだが、自動的にクロールしてSQLインジェクションやXSSを検知できるそうだ。Cで書かれているから高速だとか、使い方が簡単とかの特徴がある。
手元のCentOSでコンパイルしてみたところ、それほど手間がかからずバイナリができた。*1
試しに以下のようなオプションを付けて、DVWAに対してスキャンしてみた。

./skipfish -o dvwa -W dictionaries/default.wl http://192.168.xx.xx/dvwa/

そうすると、ものすごい早さでクロールとスキャンが走りだしコンソールはこんな感じに。

スキャンが終わるとレポートが出力されるので、ブラウザで表示すると以下の３種類の見方で結果が表示される。

1. Crawl results
2. Document type overview
3. Issue type overview

設定の仕方がまずいのかも知れないが、脆弱性を全部検出することはできなかった。脆弱性を発見したときは、URL毎に"show trace"というボタンが表示され、それを押すとHTTPリクエストとレスポンスが表示されるので、誤検知の判断はしやすいと思う。

• グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開 (CNET Japan)