RVScan:Burp Suite向けの自動Webアプリ脆弱性スキャン&指紋識別ツール
概要
RVScanは、Burp Suiteの拡張プラグインとして設計された自動Webアプリケーション脆弱性スキャナーです。Javaで実装されており、パス探索(パススキャン)、バイパステクニック、EHoleに基づくサーバー指紋認識を統合。これにより、対象Webサイトの構造や潜在的脆弱性を効率的に抽出・検出できます。元プロジェクト「RouteVulScan」からフォークし、機能拡張と精度向上を図っています。カスタマイズ可能なスキャンルールや多様な認識手法を備え、Burp SuiteユーザーのWebアプリ診断を強力に支援します。
リポジトリの統計情報
- スター数: 8
- フォーク数: 1
- ウォッチャー数: 8
- コミット数: 16
- ファイル数: 6
- メインの言語: Java
主な特徴
- Burp Suite拡張としてシームレスに統合可能な自動脆弱性スキャン
- EHoleベースの高精度指紋認識によるサーバー特定機能
- 多様なバイパステクニックやパス探索による包括的な脆弱性検出
- カスタム可能なスキャンルールで利用者のニーズに柔軟対応
技術的なポイント
RVScanは、既存のBurp Suite拡張「RouteVulScan」をベースに独自改良を加えたJava製ツールで、脆弱性診断の自動化を深く追求しています。最大の技術的特徴は、EHoleプロジェクト由来の指紋認識技術の統合にあります。EHoleはWebサーバーの特性をキーワードやfaviconのハッシュ値など多角的に分析し、サーバー種別・バージョン特定の精度向上を実現。RVScanはこれを拡張機能内で実装することで、単なるパス探索だけでなくサーバー環境の把握も同時に行い、診断の精度と効率を大幅に高めています。
また、脆弱性スキャンではパスの自動発見に加え、複数のパスバイパステクニックを利用可能。これにより、通常のスキャンでは見つけにくい隠蔽された管理パスやAPIエンドポイントを検出しやすくしています。スキャンルールはYAML形式で記述されており、利用者が独自のチェックポイントや条件を容易に追加・修正できる柔軟性を持っています。
技術スタックとしてはJavaを用い、Gradleでビルド管理。設定ファイルや指紋情報はJSONやYAMLで管理し、拡張機能としてBurp SuiteのUIに統合される設計です。このため、既存のBurp Suiteユーザーは違和感なく導入・利用でき、手動診断の補完として自動化された幅広い検査を実行可能。オープンソースであるためカスタマイズや機能拡張も期待されます。
プロジェクトの構成
主要なファイルとディレクトリ:
.gitignore: Gitで管理しないファイル指定Config_yaml.yaml: スキャンルールや設定パラメータを定義README.md: リポジトリの概要説明と利用方法build.gradle: Javaプロジェクトのビルド設定finger.json: 指紋認識用のキーワードやハッシュ値データ
その他1ファイルが含まれています。これらにより、環境構築から利用、カスタマイズまで容易に行えます。
まとめ
Burp Suite環境で自動化された高精度のWeb脆弱性診断を実現する有望な拡張ツール。
リポジトリ情報:
- 名前: RVScan
- 説明: RVScan 是一个功能强大的 Burp Suite 扩展插件,专为自动化Web应用程序安全测试和漏洞扫描而设计。它提供全面的路径发现、绕过技术、EHole指纹识别和可定制的扫描规则。
- スター数: 8
- 言語: Java
- URL: https://github.com/XF-FS/RVScan
- オーナー: XF-FS
- アバター: https://avatars.githubusercontent.com/u/59310045?v=4