ペネトレーションテストのデータマネジメントツール『Dradis』

ペネトレーションテストのデータ管理を行うツールについて調べてて、『Dradis』というものを見かけたのでUbuntu Server 16.04 LTSにインストールしていくつか診断データをインポートしてみることにした。 有償版と無償版があるようだが、今回は無償版。 Ruby製のツールらしく、インストールは簡単に行える。

sudo apt install -y ruby ruby-bundler ruby-railties ruby-dev git libsqlite3-dev mysql-server mysql-client libmysqlclient-dev redis-server libnetcdf-dev libssl-dev libcrypto++-dev
git clone https://github.com/dradis/dradis-ce.git
cd dradis-ce/
sudo gem install coffee-script-source -v '1.10.0'
sudo gem install activesupport -v '4.2.7.1'
sudo gem install actionmailer -v '4.2.7.1'
ruby bin/setup

エラーが出たら、都度個別に対応してやる。 インストール完了後、以下のコマンドでサーバを起動できる。

bundle exec rails server -b 0.0.0.0

サーバ起動後、ブラウザから「http://IPアドレス:3000」にアクセスする。 最初にadminユーザのパスワード設定画面が表示されるので、任意のパスワードを設定する。

ログインIDはadminなので、遷移した画面から先ほどのパスワードでログインする。

ログイン直後の画面。

適当に、Nessusなどのデータをインポートした状態が以下。

Kvasirと比べるとBurpなど対応しているツールが多いのが利点だろうか。