Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP ZAPのAPIとCLI / 20190830 - Security Testing...

Avatar for 脆弱性診断研究会 脆弱性診断研究会
August 30, 2019
Technology
3
1.7k

OWASP ZAPのAPIとCLI / 20190830 - Security Testing Workshop

第76回ハンズオンセミナー脆弱性診断ええんやで(^^)
OWASP ZAPのAPIとCLI
2019年8⽉30⽇(⾦)
脆弱性診断研究会
(Security Testing Workshop)
Avatar for 脆弱性診断研究会

脆弱性診断研究会

August 30, 2019
Tweet

More Decks by 脆弱性診断研究会

See All by 脆弱性診断研究会
20191128 - Security Testing Workshop
Avatar for 脆弱性診断研究会 security_testing_workshop
3
1.1k
何故「思ってたのと違う」⾒積額が提⽰されるのか / 20190725 - Security Testing Workshop
Avatar for 脆弱性診断研究会 security_testing_workshop
2
1.2k
OWASP ZAP Maniacs #6
Avatar for 脆弱性診断研究会 security_testing_workshop
2
2k

Other Decks in Technology

See All in Technology
20250623 Findy Lunch LT Brown
Avatar for Brown 3150
0
790
Create a Rails8 responsive app with Gemini and RubyLLM
Avatar for Riccardo Carlesso palladius
0
140
Microsoft Build 2025 技術/製品動向 for Microsoft Startup Tech Community
Avatar for Toru Makabe torumakabe
1
210
BrainPadプログラミングコンテスト記念LT会2025_社内イベント&問題解説
Avatar for BrainPad brainpadpr
0
160
Observability infrastructure behind the trillion-messages scale Kafka platform
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
130
フィンテック養成勉強会#54
Avatar for フィンテック養成コミュニティ finengine
0
120
2025/6/21 日本学術会議公開シンポジウム発表資料
Avatar for Keisuke Fujii keisuke198619
2
480
プロダクトエンジニアリング組織への歩み、その現在地 / Our journey to becoming a product engineering organization
Avatar for hiro-torii hiro_torii
0
110
PHPでWebブラウザのレンダリングエンジンを実装する
Avatar for ディップ株式会社 dip_tech
PRO
0
180
Azure AI Foundryでマルチエージェントワークフロー
Avatar for 瀬尾佳隆 seosoft
0
150
米国国防総省のDevSecOpsライフサイクルをAWSのセキュリティサービスとOSSで実現
Avatar for Shun Yoshie syoshie
2
820
_第3回__AIxIoTビジネス共創ラボ紹介資料_20250617.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
150

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.4k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
223
9.7k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
53
11k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
351
20k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
56
9.4k
A better future with KSS
Avatar for Kyle Neath kneath
239
17k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.3k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
281
13k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k

Transcript

  1. 第76回ハンズオンセミナー 脆弱性診断ええんやで(^^) OWASP ZAPの APIとCLI 2019年8⽉30⽇(⾦) 脆弱性診断研究会 (Security Testing Workshop)

  2. 脆弱性診断研究会とは Webアプリケーションの脆弱性を診断 する⼿法や脆弱性診断ツールの使⽤法 などを研究するコミュニティ。コワー キングスペース茅場町Co-Edo様にて第 1回セミナーを2014年8⽉に開催して 以来2019年8⽉現在で76回のセミナー を実施。 © 2019

    脆弱性診断研究会 Security Testing Workshop 2 2019/08/30

  3. ⾃⼰紹介 松本 隆則 @nilfigo(ニルフィーゴ、ニルフィ) • 脆弱性診断研究会 主宰 • EGセキュアソリューションズ株式会社 •

    OWASP Japan プロモーションチーム • ZAP Evangelist (New!) 3 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  4. ZAP Evangelist https://github.com/zaproxy/zaproxy/wiki/ZapEvangelists • The following people are happy to

    give free ZAP talks and/or training in their respective locations • Most ZAP evangelists will travel to give talks or training provided expenses are covered. 4 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  5. アジェンダ • 脆弱性とは? • 脆弱性診断とは? • OWASPってナニ? • OWASP ZAP

    ってナニ? • ZAP CLI • ZAP API 5 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  6. 脆弱性とは 脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにお いて、プログラムの不具合や設計上のミスが原因となって発生し た情報セキュリティ上の欠陥のことを言います。 • 「総務省 安⼼してインターネットを使うために 国⺠のための情報セキュリティサイト」より引⽤ http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html •

    ⽂中の強調はスライド作成者による © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 6

  7. 脆弱性診断とは ちょい足し異常系テスト © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 7

  8. ちょい⾜し異常系テスト ちょい⾜しする隠し味のひとつが OWASP ZAP © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 8

  9. OWASP ってナニ︖ The O pen W eb A pplication S

    ecurity P roject 9 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  10. OWASP ってナニ︖ OWASPとは、Webをはじめとするソフト ウェアのセキュリティ環境の現状、またセ キュアなソフトウェア開発を促進する技術・ プロセスに関する情報共有と普及啓発を⽬的 としたプロフェッショナルの集まる、オープ ンソース・ソフトウェアコミュニティです。 http://blog.owaspjapan.org/ より引⽤

    10 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  11. OWASP ZAP ってナニ? • https://www.owasp.org/index.php/OWASP_Zed_Attack_ Proxy_Project • 世界中のエンジニアによって開発されている セキュリティ診断⽤プロキシツール •

    ZAP = Zed Attack Proxy プロキシとして動作して、ブラウザとWebアプリケーショ ン間の通信の閲覧および改変が可能 • オープンソース(Apache License 2.0) • 商⽤・⾮商⽤問わず無償で利⽤可能 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 11

  12. OWASP ZAPの基本設定 nモード • セーフモード • プロテクトモード • 標準モード •

    攻撃モード © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 12

  13. OWASP ZAPの基本設定 【重要】プロテクトモード以外は使⽤禁⽌!! なぜなら 管理外のサイトへの診断を実⾏する危険性が⾼い © 2019 脆弱性診断研究会 Security Testing

    Workshop 2019/08/30 13

  14. OWASP ZAPの基本設定 nオプション • ローカル・プロキシ • Address、ポート • スパイダー •

    動的スキャン © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 14

  15. OWASP ZAPの基本設定 nアドオン • インストール • アップデート nポリシー • スキャンポリシー

    © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 15

  16. ZAP CLI コマンドラインインターフェース (Command Line Interface)で OWASP ZAPを操作 © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 16

  17. コマンドラインオプション 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 17 HelpCmdline

    · zaproxy/zap-core-help Wiki https://github.com/zaproxy/zap-core-help/wiki/HelpCmdline

  18. オススメのオプション • -daemon UIなしで起動 • -dir <dir> 作業ディレクトリ指定 • -newsession

    <path> ZAPセッションの保存先指定 • -host <host> ZAPの待受IPアドレス指定 • -port <port> ZAPの待受ポート指定 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 18

  19. ZAP APIとは? OWASP ZAPを操作するAPI © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 19

  20. ZAP API 事前準備 [ツール] →[オプション] →[API] © 2019 脆弱性診断研究会 Security

    Testing Workshop 2019/08/30 20

  21. ZAP API 事前準備① 有効 UI Enabled □Secure Only © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 21

  22. ZAP API 事前準備② すべてのAddressを「有効」に。 © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 22

  23. ZAP API 事前準備③ これら6つの設定はすべて「危険」なので、よく考えてから設定しましょう。 © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 23

  24. ZAP API ⼀覧 OWASP ZAPで[ツール]→[API⼀覧] ↓ OSのデフォルトブラウザでAPIトップページが 表⽰される © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 24

  25. ZAP API UI © 2019 脆弱性診断研究会 Security Testing Workshop 127.0.0.1:57777

    (OWASP ZAPのIPアドレス&ポート) 「ローカル API」リンクで⼀覧表⽰ 2019/08/30 25

  26. ZAP API 主なAPI © 2019 脆弱性診断研究会 Security Testing Workshop コンポーネント

    概要 ascan 動的スキャン(Active Scanner)の管理/操作 context コンテキスト操作 core ZAPセッション管理、アラート表⽰など pscan 静的スキャン(Passive Scanner)の管理/操作 spider スパイダー(クローリングツール) 2019/08/30 26

  27. ZAP API © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 27

  28. ZAP API アクセス⽅法 • ブラウザ経由 • curlコマンド © 2019 脆弱性診断研究会

    Security Testing Workshop 2019/08/30 28

  29. ZAP APIで脆弱性診断 1. 診断対象登録 2. 診断対象情報収集 3. 脆弱性診断実施 4. 診断結果確認

    © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 29

  30. 1. 診断対象登録 1. newContext 2. includeInContext 3. contextList © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 30

  31. 2. 診断対象情報収集 1. spider © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 31

  32. 3. 脆弱性診断実施 1. ascan © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 32

  33. 4. 診断結果確認 1. report © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 33