SlideShare a Scribd company logo

130821 owasp zed attack proxyをぶん回せ

Minoru Sakai, profile picture
Minoru Sakai

OWASP Meeting - 7th Local Chapter Meeting 「OWASP ZAPをぶん回せ!〜 活用マニュアル作ってみました」 で使用したPPTです(ちょっと改変あり) 実際には、プレゼン機でZAPを動かすデモがメインでしたので、 PPTを見ても参考にならないかもしれません。

Technology
1 of 20
Downloaded 53 times
1
2
3
4
5
6
7
8
9
10
11
12
Most read
13
14
15
16
17
18
19
20
OWASP Zed Attack Proxyをぶん回せ ~活用マニュアルも作ってみました~ 境 稔,亀田 勇歩
SCSK株式会社 ITマネジメント事業部門 基盤インテグレーション事業本部 グローバルセキュリティソリューション部 サイバーセキュリティソリューション課 境 稔 亀田 勇歩 普段やっている事 ❯ 脆弱性診断 ❯ 診断トレーニング ❯ SOC・CSIRT運用 2 自己紹介
3 Zed Attack Proxyって?
The Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications. Webアプリケーションの脆弱性を検出する為の統合侵 入テスト?ツール 4 OWASP ZAPとは 不完全だが、日本語対応!
5 ZAPの使い方 Easy to use URLを入力し、[攻撃]ボタンを押すだけ!
6 Challenge 遷移が複雑で、リンクを追うだけでは辿り着けな いコンテンツが存在する 検査パケットを投げてほしくないページがある 特定のページのみ検査すればよい
ZAPはローカル・プロキシとして動作します。経由させたリクエストやレスポンスはZAPが管理しており、スキャン 時に利用します。自動診断だけでなく、手動診断の補助ツールとしても使用できます。 7 ZAP Over View ②ZAPを経由させた リクエストA+ ③A+に対する レスポンスX ④ZAPを経由した レスポンスX+ ①Webブラウザでアク セスしたリクエストA ・リクエストやレスポンスの履歴を持って いる。 ・履歴のリクエストを解析し、スキャンの 実行をする。 Webブラウザ ZAP サーバー
ZAPはローカル・プロキシとして動作します。 ブラウザの接続設定を変更する必要あり! 8 ZAP Over View
9 ZAP Ver.1.X V1時代のスクリーンショット ・日本語対応していない! ・メニューは案外すっきり? ・QuickStartが無い
10 ZAP Ver.2.1新機能
11 ZAP Ver.2.1 -モード選択 三種類のモードを選択し、危険な操作(検 査パケットの送出)を抑制します。 ▼Safe mode 危険な操作は実行出来ません。 ▼ Protected mode Context内のみ、すべての操作が実行 可能です。 ▼ Standard mode すべての操作が実行可能です。
12 ZAP Ver.2.1 -ToolBer 1. モード選択 2. 新規セッション 3. セッションを開く 4. 名前をつけてセッションを保存 5. Snapshot Session 6. セッションのプロパティ 7. オプション 8. サイトタブを広げる 9. インフォメーションタブを広げる 10. Request and Response tabs side by side 11. Request Shown above Response 12. Request and Response panels side by side 13. (Unset) Show / enable fields 14. 全リクエストのブレークポイントセット/解除 15. 全レスポンスのブレークポイントセット/解除 16. サブミットして次のリクエストかレスポンスに 移動 17. サブミットして次のブレークポイントへ移動 18. リクエストまたはレスポンスを削除 19. Manage Add-ons 20. Enable / disable automatic re- authentication
13 ZAP Ver.2.1 -AjaxSpider AjaxSpiderを使う前に、 まずは、設定。 オープンするブラウザ の数、動作するスレ ッドの数などを設定 します。 注:現在のバージョンは AjaxSpiderの設定が保存さ れない不具合あり! 起動 するたびに要再設定(T_T
14 ZAP Ver.2.1 -AjaxSpider 設定が終わったら、 起点となるリクエ ストを選択し、右 クリックメニューか らStart!
15 ZAP Ver.2.1 -AddOn
16 ZAP Ver.2.1 -AddOn V V2になり、今までオールイ ンワンパッケージだった機 能が、Add-onに。 必要な機能だけをインス トールすることが可能に。
17 ZAP Ver.2.1 -AddOn ベータ版、アルファ版も入手可能。 ただし、使う際には細心の注意を!
18 ZAP マニュアル 公開準備中 Comming soon!
19 ZAP マニュアル 公開準備中 Comming soon!
ご清聴、ありがとうございました。 20

More Related Content

PDF
とある診断員と色々厄介な脆弱性達
zaki4649
 
PDF
とある診断員とSQLインジェクション
zaki4649
 
PDF
脆弱性検査ツールってどうよ
Masakazu Ikeda
 
PPTX
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
 
PDF
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
 
PPTX
最近のやられアプリを試してみた
zaki4649
 
PDF
フリーでやろうぜ!セキュリティチェック!
zaki4649
 
PDF
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
 
とある診断員と色々厄介な脆弱性達
zaki4649
 
とある診断員とSQLインジェクション
zaki4649
 
脆弱性検査ツールってどうよ
Masakazu Ikeda
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
 
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
 
最近のやられアプリを試してみた
zaki4649
 
フリーでやろうぜ!セキュリティチェック!
zaki4649
 
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
 

What's hot (20)

PDF
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
 
PPTX
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
 
PDF
XSS再入門
Hiroshi Tokumaru
 
PDF
Proxy War
zaki4649
 
PDF
Quarkus入門
Norito Agetsuma
 
PDF
ログイン前セッションフィクセイション攻撃の脅威と対策
Hiroshi Tokumaru
 
PPTX
Metaspace
Yasumasa Suenaga
 
PPTX
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
 
PDF
Form認証で学ぶSpring Security入門
Ryosuke Uchitate
 
PPTX
安全なWebアプリケーションの作り方2018
Hiroshi Tokumaru
 
PDF
Serf / Consul 入門 ~仕事を楽しくしよう~
Masahito Zembutsu
 
PDF
WebAssemblyのWeb以外のことぜんぶ話す
Takaya Saeki
 
PDF
Implementing SSH in Java
Atsuhiko Yamanaka
 
PDF
今さら聞けないXSS
Sota Sugiura
 
PPTX
[BurpSuiteJapan]HTTP基礎入門
Burp Suite Japan User Group
 
PDF
シリコンバレーの「何が」凄いのか
Atsushi Nakada
 
PPTX
Redisの特徴と活用方法について
Yuji Otani
 
PDF
[AWS初心者向けWebinar] 利用者が実施するAWS上でのセキュリティ対策
Amazon Web Services Japan
 
PDF
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
 
PPT
UnicodeによるXSSと SQLインジェクションの可能性
Hiroshi Tokumaru
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
 
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
 
XSS再入門
Hiroshi Tokumaru
 
Proxy War
zaki4649
 
Quarkus入門
Norito Agetsuma
 
ログイン前セッションフィクセイション攻撃の脅威と対策
Hiroshi Tokumaru
 
Metaspace
Yasumasa Suenaga
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
 
Form認証で学ぶSpring Security入門
Ryosuke Uchitate
 
安全なWebアプリケーションの作り方2018
Hiroshi Tokumaru
 
Serf / Consul 入門 ~仕事を楽しくしよう~
Masahito Zembutsu
 
WebAssemblyのWeb以外のことぜんぶ話す
Takaya Saeki
 
Implementing SSH in Java
Atsuhiko Yamanaka
 
今さら聞けないXSS
Sota Sugiura
 
[BurpSuiteJapan]HTTP基礎入門
Burp Suite Japan User Group
 
シリコンバレーの「何が」凄いのか
Atsushi Nakada
 
Redisの特徴と活用方法について
Yuji Otani
 
[AWS初心者向けWebinar] 利用者が実施するAWS上でのセキュリティ対策
Amazon Web Services Japan
 
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
 
UnicodeによるXSSと SQLインジェクションの可能性
Hiroshi Tokumaru
 
Ad

130821 owasp zed attack proxyをぶん回せ

Editor's Notes

  • #4: 挙手アンケート ・ ZAP 知ってますか? ・ ZAP 使ったことありますか? ・ 2.0 になってから使ったことのある人は?