脆弱性診断ツールskipfishを使ってみて困ったこと

無料の脆弱性診断ツールの検証を行いました

脆弱性診断ツール：skipfish

skipfishとは、googleが開発しているWebアプリケーション向けの脆弱性診断ツールです。
診断後にHTML形式でレポートを出力してくれるので、ブラウザを使って診断結果を確認できます。

さて、こちらを利用してみて困ったことを2点挙げます。

１．より安価に実行したく、AWSのt2.microで実施したところ、24時間たっても終わりませんでした。
ホームページの作り・ページの多さにもよりますが、残念ながら中断することにしました。
CPUの処理能力が必要となりますので、T2タイプのインスタンスでは難しいようです。C4タイプがお勧めです。

２．入力フォームの内容をメールで受け取るようにしていると、大量のメールが届き、メールサーバの負荷が上昇してしまう
XSSやSQLインジェクションの検査をしてくれます。様々な文字列を次々にチェックしているため、何千通ものメールが届いてしまいます。
ウェブサーバに対して診断しているのに、なんでメールサーバが・・・というよ
うに、想定外のサーバに負荷をかけてしまっていることがあります。
入力内容のメールをメーリングリスト宛にしていると、無駄なメールが大量に大
勢に配信されるため、メールサーバの負荷が上昇し、本当に受け取りたいメール
がなかなか受信できなかったり配送遅延が起こります。
※顧客宛にメルマガを送るような管理画面に対して実行し、同様のことが起こると、顧客に無駄なメールが大量に配信されてしまいクレームになりかねません。

非常に有効なツールではあるものの、上記のようなことに十分注意して使いましょう。