2012-08-31(金) [長年日記]
■ 
実践 Metasploit ―ペネトレーションテストによる脆弱性評価(David Kennedy/Jim O'Gorman/Devon Kearns/Mati Aharoni
ここ数日けっこうな騒ぎになっていた、Oracle Javaのセキュリティホールに関する報道にともなって、幾度となく名前が登場したMetasploit。その本邦初の解説書である本書をちょっと必要に駆られて読んでいるんだけど、いやー、面白いわー。いままであまり接近してこなかった世界ではあるが*1、Webサービスを開発・運用している身としては他人ごとではない世界でもあり、壁を隔てた向こう側にいる人たちの思考過程とその手法についてよくわかって(いろんな意味で)面白い。
Metasploitそのものはペネトレーションテストをすることを目的に作られているが、そこに含まれているのは歴代の多数のexploitなわけで、ダウンロードするだけでアンチウィルスソフトにひっかかる代物だ。そんな危険なものなのに、オープンソースでリポジトリはGithubにある。さらに開発言語は我がソウル言語であるRuby。こりゃフォローしないわけにいかないし、いつかはパッチのひとつもcontributeできたらいいね。
本書は「実践」とついているだけあって、構成もハードだ。なにしろインストール方法はおろか入手方法の説明もなしにいきなり起動から入る。専門用語の説明も最小限。それくらいはクリアしてから手に取れということだ。一方、ホワイトハッカーとしてペネトレーションテストの正当性を確保するためのルールに関しては前段で丁寧に説明してあり、モラルなくしてこのツールを手に取るなという強いメッセージに背筋が伸びる思い。
そんなペネトレーションテストの設計から入って、ポートスキャン、脆弱性スキャンを経てようやく「攻撃」に至る手順はしごくまっとう。理論は別の書籍に任せるということだろう、周辺ツールの紹介もはさみつつ本当に実践的な手法の紹介に徹している。まだ読みかけだけど、後半にはRubyで書かれたさまざまなモジュールを改造したり新規に書き起こしたりもしているようで、これも楽しみだ。
実践 Metasploit ―ペネトレーションテストによる脆弱性評価
オライリージャパン
¥4,180
*1 クラッキングをする人たちの住む世界、という意味でだが、もちろん本書の想定読者はセキュリティ監査目的のペネトレーションテストをする人たちである。
まいどありがとうございますー。
正しく楽しんでいただき、かつお役立ていただければ幸いですー。
役だってますよぅ、マジで!