130821 owasp zed attack proxyをぶん回せ

Post on 26-Jun-2015

3.331 views 2 download

Preview:

Click to see full reader
Report this document
SHARE

description

OWASP Meeting - 7th Local Chapter Meeting 「OWASP ZAPをぶん回せ!〜 活用マニュアル作ってみました」 で使用したPPTです(ちょっと改変あり) 実際には、プレゼン機でZAPを動かすデモがメインでしたので、 PPTを見ても参考にならないかもしれません。

Transcript of 130821 owasp zed attack proxyをぶん回せ

OWASP Zed Attack Proxyをぶん回せ~活用マニュアルも作ってみました~

境 稔, 亀田勇歩

SCSK株式会社

ITマネジメント事業部門

基盤インテグレーション事業本部

グローバルセキュリティソリューション部

サイバーセキュリティソリューション課

境 稔

亀田 勇歩

普段やっている事❯ 脆弱性診断

❯ 診断トレーニング

❯ SOC・CSIRT運用

2

自己紹介

3

Zed Attack Proxyって?

The Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.

Webアプリケーションの脆弱性を検出する為の統合侵入テスト?ツール

4

OWASP ZAPとは

不完全だが、日本語対応!

5

ZAPの使い方 Easy to use

URLを入力し、[攻撃]ボタンを押すだけ!

6

Challenge

遷移が複雑で、リンクを追うだけでは辿り着けないコンテンツが存在する

検査パケットを投げてほしくないページがある

特定のページのみ検査すればよい

ZAPはローカル・プロキシとして動作します。経由させたリクエストやレスポンスはZAPが管理しており、スキャン時に利用します。自動診断だけでなく、手動診断の補助ツールとしても使用できます。

7

ZAP Over View

②ZAPを経由させたリクエストA+

③A+に対するレスポンスX

④ZAPを経由したレスポンスX+

①WebブラウザでアクセスしたリクエストA

・リクエストやレスポンスの履歴を持っている。

・履歴のリクエストを解析し、スキャンの実行をする。

Webブラウザ

ZAPサーバー

ZAPはローカル・プロキシとして動作します。

ブラウザの接続設定を変更する必要あり!

8

ZAP Over View

9

ZAP Ver.1.X

V1時代のスクリーンショット

・日本語対応していない!・メニューは案外すっきり?・QuickStartが無い

10

ZAP Ver.2.1新機能

11

ZAP Ver.2.1 -モード選択

三種類のモードを選択し、危険な操作(検査パケットの送出)を抑制します。

▼Safe mode

危険な操作は実行出来ません。

▼ Protected mode

Context内のみ、すべての操作が実行可能です。

▼ Standard mode

すべての操作が実行可能です。

12

ZAP Ver.2.1 -ToolBer

1. モード選択

2. 新規セッション

3. セッションを開く

4. 名前をつけてセッションを保存

5. Snapshot Session

6. セッションのプロパティ

7. オプション

8. サイトタブを広げる

9. インフォメーションタブを広げる

10. Request and Response tabs side by side

11. Request Shown above Response

12. Request and Response panels side by side

13. (Unset) Show / enable fields

14. 全リクエストのブレークポイントセット/解除

15. 全レスポンスのブレークポイントセット/解除

16. サブミットして次のリクエストかレスポンスに移動

17. サブミットして次のブレークポイントへ移動

18. リクエストまたはレスポンスを削除

19. Manage Add-ons

20. Enable / disable automatic re-authentication

13

ZAP Ver.2.1 -AjaxSpider

AjaxSpiderを使う前に、

まずは、設定。

オープンするブラウザの数、動作するスレッドの数などを設定します。

注:現在のバージョンはAjaxSpiderの設定が保存さ

れない不具合あり! 起動するたびに要再設定(T_T

14

ZAP Ver.2.1 -AjaxSpider

設定が終わったら、起点となるリクエストを選択し、右クリックメニューからStart!

15

ZAP Ver.2.1 -AddOn

16

ZAP Ver.2.1 -AddOn

V2になり、今までオールイ

ンワンパッケージだった機能が、Add-onに。

必要な機能だけをインストールすることが可能に。

17

ZAP Ver.2.1 -AddOn

ベータ版、アルファ版も入手可能。

ただし、使う際には細心の注意を!

18

ZAPマニュアル公開準備中

Comming soon!

19

ZAPマニュアル公開準備中

Comming soon!

ご清聴、ありがとうございました。

20

Top related

CINEMA ZED - DECEMBER 2013
 Documents
OWASP portugues
 Documents
OWASP Zed Attack Proxy Demonstration - OWASP Bangalore Nov 22 2014
 Technology
Pentesting con OWASP Zed Attack Prox y - tic.udc.esnino/blog/psi/2012/pentestingZAP2.pdf · Una vez abierto ZAP, lo siguiente será abrir y configurar el navegador que vayamos a utilizar.
 Documents
OWASP Nederland
 Documents
OWASP Presentation Template - SSMJPssm.pkan.org/wp-content/uploads/2014/05/OWASP_ssm_UpVer.pdf · 2014. 10. 23. · 『OWASP Zed Attack Proxy 運用マニュアル』執筆協力
 Documents
CINEMA ZED - JEUGDFILMS NAJAAR 2012
 Documents
The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.
 Documents
Formato de Consentimiento para Cambios de Condiciones-130821
 Documents
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 Documents
Jeugdfilmprograma Cinema ZED voorjaar 2014
 Documents
Orden de Trabajo-130821
 Documents
Informe OWASP
 Documents
Jeugdfilmprogramma Cinema ZED (najaar 2015)
 Documents
MODE D’EMPLOI ZED-10FX
 Documents
130821 - Jeans - Catalogo
 Documents
Owasp Universal
 Documents
OWASP Projects
 Technology
OWASP TOP10
 Technology
Samm owasp
 Technology

Copyright © 2022 FDOCUMENT