前回はこちら→セキュリティテストプラットフォームMinion最速ガイド
こんにちは。こんばんは。CTOの馬場です。
OSSのセキュリティテストプラットフォームのガイドの第2回です。
たぶん日本最速級Administration Guideだとおもいます。
前回の セキュリティテストプラットフォームMinion最速ガイド の続きです。
今回はAdministration Menu関連とPluginについてです。
User / Site / Group / Plan の関係
Administration Menuについてちょろっと解説します。
User
Minionのユーザのこと。 メールアドレスごとに作成します。
- Roleを持ちます (user|administrator)
- 複数のGroupに参加できます
Site
チェック対象のサイト(URL)のこと。 URLごとに作成します。
- Ownership Verificationが必要になるように設定できます
- 複数のPlanを適用できます
Group
ユーザを束ねる管理単位の概念としてのグループのこと。 適宜作成します。
- 所属ユーザを複数設定できます
- 取り扱うサイトを複数指定できます
Plan
一連のテスト計画のこと。シナリオみたいなもの。 希望するテストシナリオごとに作成します。
- administratorしか実行できないように設定できます
- テスト計画をJSONで設定します。利用するプラグイン・テスト設定を設定します。
つまりどういうこと?
既存のテスト計画で新しいURLをテストしたい!
- Siteを作成→URLと、利用するPlanを設定
- テストを管轄するGroupのSitesに作成したSiteを追加
- HomeにてScan実行
新しいプラグインを入れて使いたい!
- (後述の方法で)プラグインをインストール
- Planでテスト計画にテストを追加(
basicPlanが参考になります) - HomeにてScan実行
新しいテスト計画を作って使いたい!
- Planでテスト計画を作成(
basicPlanが参考になります) - Planを新規作成した場合はテスト対象のSiteにPlanを追加する必要があります
- HomeにてScan実行
プラグインの追加
Minionではプラグインが個別に提供されているので、 別途インストールします。
- https://github.com/mozilla/minion-zap-plugin
- https://github.com/mozilla/minion-ssl-plugin
- https://github.com/mozilla/minion-skipfish-plugin
- https://github.com/mozilla/minion-nmap-plugin
プラグインの基本的な動作は、外部コマンドを呼び出して、 結果を回収・整形しているような感じです。カンタン!
実際のインストールはpython的にパッケージを追加するだけなので、 virtualenvをactivateした状態でインストールします。
ここではnmapプラグインをインストールしてみます。
cd ~/minion
source env/bin/activate
cd ~
git clone https://github.com/mozilla/minion-nmap-plugin
cd minion-nmap-plugin
./setup.sh develop
これでPluginsに追加したプラグインが追加されるはずです。
Planを作成するときには minion-create-plan コマンドで作成できます。
cd ~/minion
source env/bin/activate
minion-create-plan minion-backend/plans/nmap.plan
これでPlanが追加されるので、あとはご自由に!
続きを書きました→セキュリティテストプラットフォームMinion最速ガイド3
