Q&A
特定??
要件やプロジェクトや契約次第では。
アプリが特定できたらとりあえずエクスプロイトできるかmetasploitでチェックすべきでしょうか?
診断業務やCTFなどではまずさきにやるのでしょうか?
※自分が所有または許可を得てるサーバーに対してです
それは何故ですか?
「アプリ」がなにを指してるか不明ですが、「すべきかどうか」は他人ではなくプロジェクトや求められる要件や要求事項、契約で決まるものだからです。
metasploitとやらも手段の1つですよね?「metasploitによるチェックを行う」と事項に挙がってればやらなければならないですし、そうでなければまた何かあるでしょうし。
「何をセキュリティ脅威とみなすか」も要件次第です。
例えば脆弱性のあるWebサーバ使ってても要件になかったらやらないってのは違う気がします
そちらの主張が極論な気がしますが、脆弱性のあるWebサーバー使ってる時点で前提間違ってます。
セキュリティのチェックは「駄目なことを洗い出す、浮き彫りにする」のではなく「要件通りちゃんと出来てるよね」という確認のためなので。
「要件になかったらやらない」よりも極論です。まあ「セキュリティチェックが要件にない」時点で破綻してるようにも思いますが、どこまでやるかは要件次第なのは間違いなく、やるとしてmetasploitでなければならないかどうかは別問題です。
要件次第と言っておきながら前提が違うと言うのは間違ってる気がします。
そもそもexploit可能な脆弱性はいつ発見されるかわかりません。
「脆弱性のあるサーバーを使っておきながら、セキュリティ診断するのはそもそもセキュリティ診断する以前の問題」という意味です。
それこそプロジェクトによりませんか?
あえて脆弱性のあるサーバーを選ぶプロジェクトというのが私には分かりません。
将来も脆弱性が存在しない技術スタックなんて選べるんですか?
回答1件
0
ベストアンサー
一般的な話をされているのであれば、脆弱性診断では通常 Metasploit は使用しません。Metasploit はペネトレーションテストで使用します。
Metasploit を脆弱性診断で使ってはいけないのかというと、それこそ要件次第ですが、脆弱性診断では対象サーバーに影響を与えないことを求められることが多いので、通常そこまではしない、ということです。たとえば、「脆弱性診断」作業により対象サーバーにファイルを作ったりしたら、通常は大騒ぎになります。また、コストの問題もあります。
あくまで、業界の一般的な話ですので、例外はあると思います。
投稿2021/09/30 11:30
総合スコア11701
あなたの回答
tips
プレビュー
