130821 owasp zed attack proxyをぶん回せ

20
OWASP Zed Attack Proxyをぶん回せ ~活用マニュアルも作ってみました~ , 亀田 勇歩

description

OWASP Meeting - 7th Local Chapter Meeting 「OWASP ZAPをぶん回せ!〜 活用マニュアル作ってみました」 で使用したPPTです(ちょっと改変あり) 実際には、プレゼン機でZAPを動かすデモがメインでしたので、 PPTを見ても参考にならないかもしれません。

Transcript of 130821 owasp zed attack proxyをぶん回せ

Page 1: 130821 owasp zed attack proxyをぶん回せ

OWASP Zed Attack Proxyをぶん回せ~活用マニュアルも作ってみました~

境 稔, 亀田勇歩

Page 2: 130821 owasp zed attack proxyをぶん回せ

SCSK株式会社

ITマネジメント事業部門

基盤インテグレーション事業本部

グローバルセキュリティソリューション部

サイバーセキュリティソリューション課

境 稔

亀田 勇歩

普段やっている事❯ 脆弱性診断

❯ 診断トレーニング

❯ SOC・CSIRT運用

2

自己紹介

Page 3: 130821 owasp zed attack proxyをぶん回せ

3

Zed Attack Proxyって?

Page 4: 130821 owasp zed attack proxyをぶん回せ

The Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.

Webアプリケーションの脆弱性を検出する為の統合侵入テスト?ツール

4

OWASP ZAPとは

不完全だが、日本語対応!

Page 5: 130821 owasp zed attack proxyをぶん回せ

5

ZAPの使い方 Easy to use

URLを入力し、[攻撃]ボタンを押すだけ!

Page 6: 130821 owasp zed attack proxyをぶん回せ

6

Challenge

遷移が複雑で、リンクを追うだけでは辿り着けないコンテンツが存在する

検査パケットを投げてほしくないページがある

特定のページのみ検査すればよい

Page 7: 130821 owasp zed attack proxyをぶん回せ

ZAPはローカル・プロキシとして動作します。経由させたリクエストやレスポンスはZAPが管理しており、スキャン時に利用します。自動診断だけでなく、手動診断の補助ツールとしても使用できます。

7

ZAP Over View

②ZAPを経由させたリクエストA+

③A+に対するレスポンスX

④ZAPを経由したレスポンスX+

①WebブラウザでアクセスしたリクエストA

・リクエストやレスポンスの履歴を持っている。

・履歴のリクエストを解析し、スキャンの実行をする。

Webブラウザ

ZAPサーバー

Page 8: 130821 owasp zed attack proxyをぶん回せ

ZAPはローカル・プロキシとして動作します。

ブラウザの接続設定を変更する必要あり!

8

ZAP Over View

Page 9: 130821 owasp zed attack proxyをぶん回せ

9

ZAP Ver.1.X

V1時代のスクリーンショット

・日本語対応していない!・メニューは案外すっきり?・QuickStartが無い

Page 10: 130821 owasp zed attack proxyをぶん回せ

10

ZAP Ver.2.1新機能

Page 11: 130821 owasp zed attack proxyをぶん回せ

11

ZAP Ver.2.1 -モード選択

三種類のモードを選択し、危険な操作(検査パケットの送出)を抑制します。

▼Safe mode

危険な操作は実行出来ません。

▼ Protected mode

Context内のみ、すべての操作が実行可能です。

▼ Standard mode

すべての操作が実行可能です。

Page 12: 130821 owasp zed attack proxyをぶん回せ

12

ZAP Ver.2.1 -ToolBer

1. モード選択

2. 新規セッション

3. セッションを開く

4. 名前をつけてセッションを保存

5. Snapshot Session

6. セッションのプロパティ

7. オプション

8. サイトタブを広げる

9. インフォメーションタブを広げる

10. Request and Response tabs side by side

11. Request Shown above Response

12. Request and Response panels side by side

13. (Unset) Show / enable fields

14. 全リクエストのブレークポイントセット/解除

15. 全レスポンスのブレークポイントセット/解除

16. サブミットして次のリクエストかレスポンスに移動

17. サブミットして次のブレークポイントへ移動

18. リクエストまたはレスポンスを削除

19. Manage Add-ons

20. Enable / disable automatic re-authentication

Page 13: 130821 owasp zed attack proxyをぶん回せ

13

ZAP Ver.2.1 -AjaxSpider

AjaxSpiderを使う前に、

まずは、設定。

オープンするブラウザの数、動作するスレッドの数などを設定します。

注:現在のバージョンはAjaxSpiderの設定が保存さ

れない不具合あり! 起動するたびに要再設定(T_T

Page 14: 130821 owasp zed attack proxyをぶん回せ

14

ZAP Ver.2.1 -AjaxSpider

設定が終わったら、起点となるリクエストを選択し、右クリックメニューからStart!

Page 15: 130821 owasp zed attack proxyをぶん回せ

15

ZAP Ver.2.1 -AddOn

Page 16: 130821 owasp zed attack proxyをぶん回せ

16

ZAP Ver.2.1 -AddOn

V2になり、今までオールイ

ンワンパッケージだった機能が、Add-onに。

必要な機能だけをインストールすることが可能に。

Page 17: 130821 owasp zed attack proxyをぶん回せ

17

ZAP Ver.2.1 -AddOn

ベータ版、アルファ版も入手可能。

ただし、使う際には細心の注意を!

Page 18: 130821 owasp zed attack proxyをぶん回せ

18

ZAPマニュアル公開準備中

Comming soon!

Page 19: 130821 owasp zed attack proxyをぶん回せ

19

ZAPマニュアル公開準備中

Comming soon!

Page 20: 130821 owasp zed attack proxyをぶん回せ

ご清聴、ありがとうございました。

20


Cinema ZED - Jeugdfilms - Najaar 2011

Cinema ZED - Jeugdfilms - Najaar 2011

OWASP Presentation Template - SSMJPssm.pkan.org/wp-content/uploads/2014/05/OWASP_ssm_UpVer.pdf · 2014. 10. 23. · 『OWASP Zed Attack Proxy 運用マニュアル』執筆協力

OWASP Presentation Template - SSMJPssm.pkan.org/wp-content/uploads/2014/05/OWASP_ssm_UpVer.pdf · 2014. 10. 23. · 『OWASP Zed Attack Proxy 運用マニュアル』執筆協力

Jeugdfilms Cinema ZED najaar 2014

Jeugdfilms Cinema ZED najaar 2014

Jeugdfilmprogramma Cinema ZED (najaar 2015)

Jeugdfilmprogramma Cinema ZED (najaar 2015)

OWASP Top 10 Schulung › ... › 2018 › OWASP_Top_10_Homepage.pdfEntwicklung der OWASP Top 10 OWASP Top Ten - 2010 OWASP Top Ten - 2013 OWASP Top Ten –2017 A1 –Injection Flaws

OWASP Top 10 Schulung › ... › 2018 › OWASP_Top_10_Homepage.pdfEntwicklung der OWASP Top 10 OWASP Top Ten - 2010 OWASP Top Ten - 2013 OWASP Top Ten –2017 A1 –Injection Flaws

Informe OWASP

Informe OWASP

OWASP @ ISCTE-IUL, OWASP e OWASP Portugal

OWASP @ ISCTE-IUL, OWASP e OWASP Portugal

Zed attack-proxy-web

Zed attack-proxy-web

Mermezo.geza Harmadik.tipusu.igazsagok.2000.HUN.pdf ZED

Mermezo.geza Harmadik.tipusu.igazsagok.2000.HUN.pdf ZED

Zed Najah 5AP

Zed Najah 5AP

Practica Owasp Zed Attack Proxy

Practica Owasp Zed Attack Proxy

MODE D’EMPLOI ZED-10FX

MODE D’EMPLOI ZED-10FX

OWASP Projects

OWASP Projects

Presentación de PowerPoint - Caribbean Shipping · MARIEL . ZED MARIEL . ZED MARIEL . ZED MARIEL . ZED MARIEL . ZED MARIEL . ZED MARIEL . CAMARA DE COMERCIO DE LA DE CUBA OF ZED

Presentación de PowerPoint - Caribbean Shipping · MARIEL . ZED MARIEL . ZED MARIEL . ZED MARIEL . ZED MARIEL . ZED MARIEL . ZED MARIEL . CAMARA DE COMERCIO DE LA DE CUBA OF ZED

Report 130821

Report 130821

OWASP @ ISCTE-IUL, OWASP Top 10 2010

OWASP @ ISCTE-IUL, OWASP Top 10 2010

OWASP portugues

OWASP portugues

ZED 6FX 1. Faites connaissance avec votre mixeurcdn.laboitenoiredumusicien.com/pub/collections/documents_AE/ALLEN... · ZED-6FX Merci d'avoir choisi ce ZED-6FX Allen & Heath. Nous

ZED 6FX 1. Faites connaissance avec votre mixeurcdn.laboitenoiredumusicien.com/pub/collections/documents_AE/ALLEN... · ZED-6FX Merci d'avoir choisi ce ZED-6FX Allen & Heath. Nous

OWASP Nederland

OWASP Nederland

Orden de Trabajo-130821

Orden de Trabajo-130821