OWASP ZAPのAPIとCLI / 20190830 - Security Testing Workshop

第76回ハンズオンセミナー脆弱性診断ええんやで(^^) OWASP ZAPの APIとCLI 2019年8⽉30⽇（⾦）脆弱性診断研究会 (Security Testing Workshop)

脆弱性診断研究会とは Webアプリケーションの脆弱性を診断する⼿法や脆弱性診断ツールの使⽤法などを研究するコミュニティ。コワーキングスペース茅場町Co-Edo様にて第１回セミナーを2014年８⽉に開催して以来2019年8⽉現在で76回のセミナーを実施。 © 2019
脆弱性診断研究会 Security Testing Workshop 2 2019/08/30

⾃⼰紹介松本隆則 @nilfigo（ニルフィーゴ、ニルフィ） • 脆弱性診断研究会主宰 • EGセキュアソリューションズ株式会社 •
OWASP Japan プロモーションチーム • ZAP Evangelist (New!) 3 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

ZAP Evangelist https://github.com/zaproxy/zaproxy/wiki/ZapEvangelists • The following people are happy to
give free ZAP talks and/or training in their respective locations • Most ZAP evangelists will travel to give talks or training provided expenses are covered. 4 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

アジェンダ • 脆弱性とは？ • 脆弱性診断とは？ • OWASPってナニ？ • OWASP ZAP
ってナニ？ • ZAP CLI • ZAP API 5 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

脆弱性とは脆弱性（ぜいじゃくせい）とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。 • 「総務省安⼼してインターネットを使うために国⺠のための情報セキュリティサイト」より引⽤ http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html •
⽂中の強調はスライド作成者による © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 6

ちょい⾜し異常系テストちょい⾜しする隠し味のひとつが OWASP ZAP © 2019 脆弱性診断研究会 Security Testing Workshop
2019/08/30 8

OWASP ってナニ︖ The O pen W eb A pplication S
ecurity P roject 9 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

OWASP ってナニ︖ OWASPとは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を⽬的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。 http://blog.owaspjapan.org/ より引⽤
10 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

OWASP ZAP ってナニ？ • https://www.owasp.org/index.php/OWASP_Zed_Attack_ Proxy_Project • 世界中のエンジニアによって開発されているセキュリティ診断⽤プロキシツール •
ZAP ＝ Zed Attack Proxy プロキシとして動作して、ブラウザとWebアプリケーション間の通信の閲覧および改変が可能 • オープンソース（Apache License 2.0） • 商⽤・⾮商⽤問わず無償で利⽤可能 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 11

OWASP ZAPの基本設定 nモード • セーフモード • プロテクトモード • 標準モード •
攻撃モード © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 12

OWASP ZAPの基本設定【重要】プロテクトモード以外は使⽤禁⽌！！なぜなら管理外のサイトへの診断を実⾏する危険性が⾼い © 2019 脆弱性診断研究会 Security Testing
Workshop 2019/08/30 13

OWASP ZAPの基本設定 nオプション • ローカル・プロキシ • Address、ポート • スパイダー •
動的スキャン © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 14

OWASP ZAPの基本設定 nアドオン • インストール • アップデート nポリシー • スキャンポリシー
© 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 15

ZAP CLI コマンドラインインターフェース（Command Line Interface）で OWASP ZAPを操作 © 2019
脆弱性診断研究会 Security Testing Workshop 2019/08/30 16

コマンドラインオプション 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 17 HelpCmdline
· zaproxy/zap-core-help Wiki https://github.com/zaproxy/zap-core-help/wiki/HelpCmdline

オススメのオプション • -daemon UIなしで起動 • -dir <dir> 作業ディレクトリ指定 • -newsession
<path> ZAPセッションの保存先指定 • -host <host> ZAPの待受IPアドレス指定 • -port <port> ZAPの待受ポート指定 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 18

ZAP APIとは？ OWASP ZAPを操作するAPI © 2019 脆弱性診断研究会 Security Testing Workshop
2019/08/30 19

ZAP API 事前準備［ツール］ →［オプション］ →［API］ © 2019 脆弱性診断研究会 Security
Testing Workshop 2019/08/30 20

ZAP API UI © 2019 脆弱性診断研究会 Security Testing Workshop 127.0.0.1:57777
（OWASP ZAPのIPアドレス＆ポート）「ローカル API」リンクで⼀覧表⽰ 2019/08/30 25

ZAP API 主なAPI © 2019 脆弱性診断研究会 Security Testing Workshop コンポーネント
概要 ascan 動的スキャン（Active Scanner）の管理/操作 context コンテキスト操作 core ZAPセッション管理、アラート表⽰など pscan 静的スキャン（Passive Scanner）の管理/操作 spider スパイダー（クローリングツール） 2019/08/30 26

OWASP ZAPのAPIとCLI / 20190830 - Security Testing...

OWASP ZAPのAPIとCLI / 20190830 - Security Testing Workshop

脆弱性診断研究会

More Decks by 脆弱性診断研究会

Other Decks in Technology

Featured

Transcript

第76回ハンズオンセミナー脆弱性診断ええんやで(^^) OWASP ZAPの APIとCLI 2019年8⽉30⽇（⾦）脆弱性診断研究会 (Security Testing Workshop)

⾃⼰紹介松本隆則 @nilfigo（ニルフィーゴ、ニルフィ） • 脆弱性診断研究会主宰 • EGセキュアソリューションズ株式会社 •

ZAP Evangelist https://github.com/zaproxy/zaproxy/wiki/ZapEvangelists • The following people are happy to

アジェンダ • 脆弱性とは？ • 脆弱性診断とは？ • OWASPってナニ？ • OWASP ZAP

脆弱性診断とはちょい足し異常系テスト © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 7

ちょい⾜し異常系テストちょい⾜しする隠し味のひとつが OWASP ZAP © 2019 脆弱性診断研究会 Security Testing Workshop

OWASP ってナニ︖ The O pen W eb A pplication S

OWASP ZAP ってナニ？ • https://www.owasp.org/index.php/OWASP_Zed_Attack_ Proxy_Project • 世界中のエンジニアによって開発されているセキュリティ診断⽤プロキシツール •

OWASP ZAPの基本設定 nモード • セーフモード • プロテクトモード • 標準モード •

OWASP ZAPの基本設定【重要】プロテクトモード以外は使⽤禁⽌！！なぜなら管理外のサイトへの診断を実⾏する危険性が⾼い © 2019 脆弱性診断研究会 Security Testing

OWASP ZAPの基本設定 nオプション • ローカル・プロキシ • Address、ポート • スパイダー •

OWASP ZAPの基本設定 nアドオン • インストール • アップデート nポリシー • スキャンポリシー

ZAP CLI コマンドラインインターフェース（Command Line Interface）で OWASP ZAPを操作 © 2019

コマンドラインオプション 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 17 HelpCmdline

オススメのオプション • -daemon UIなしで起動 • -dir <dir> 作業ディレクトリ指定 • -newsession

ZAP APIとは？ OWASP ZAPを操作するAPI © 2019 脆弱性診断研究会 Security Testing Workshop

ZAP API 事前準備［ツール］ →［オプション］ →［API］ © 2019 脆弱性診断研究会 Security

ZAP API 事前準備① 有効 UI Enabled □Secure Only © 2019

ZAP API 事前準備② すべてのAddressを「有効」に。 © 2019 脆弱性診断研究会 Security Testing Workshop

ZAP API 事前準備③ これら6つの設定はすべて「危険」なので、よく考えてから設定しましょう。 © 2019 脆弱性診断研究会 Security Testing Workshop

ZAP API ⼀覧 OWASP ZAPで［ツール］→［API⼀覧］ ↓ OSのデフォルトブラウザでAPIトップページが表⽰される © 2019

ZAP API UI © 2019 脆弱性診断研究会 Security Testing Workshop 127.0.0.1:57777

ZAP API 主なAPI © 2019 脆弱性診断研究会 Security Testing Workshop コンポーネント

ZAP API © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 27

ZAP API アクセス⽅法 • ブラウザ経由 • curlコマンド © 2019 脆弱性診断研究会

ZAP APIで脆弱性診断 1. 診断対象登録 2. 診断対象情報収集 3. 脆弱性診断実施 4. 診断結果確認

1. 診断対象登録 1. newContext 2. includeInContext 3. contextList © 2019

2. 診断対象情報収集 1. spider © 2019 脆弱性診断研究会 Security Testing Workshop

3. 脆弱性診断実施 1. ascan © 2019 脆弱性診断研究会 Security Testing Workshop

4. 診断結果確認 1. report © 2019 脆弱性診断研究会 Security Testing Workshop