Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP ZAP Maniacs #6

OWASP ZAP Maniacs #6

2016年8月24日(水)に脆弱性診断研究会が主催したハンズオンセミナー「脆弱性診断ええんやで(^^) OWASP ZAP Maniacs #6」にて使用した資料です。

Qiita:OWASP ZAP Tips & Tricks(作業ディレクトリ変更)
http://qiita.com/nilfigo/items/0c6d76bd94deb8dee05d

また、脆弱性診断研究会のハンズオンセミナー用のリポジトリをGitHubに作成しました。

https://github.com/SecurityTestingWorkshop/HandsOnSeminar

第39回で使用したOWASP ZAP用のスクリプトを上げてます。

脆弱性診断研究会

August 24, 2016
Tweet

More Decks by 脆弱性診断研究会

Other Decks in Technology

Transcript

  1. 1. OWASPって何? The Open Web Application Security Project Let's know

    OWASP! https://speakerdeck.com/owaspjapan/lets-know-owasp-number-bpstudy20160226 工程別活用可能な資料・ツールの紹介 https://speakerdeck.com/owaspjapan/owasp-contents-reference OWASPの歩き方 https://speakerdeck.com/owaspjapan/what-is-owasp-20160319innovationegg7th © 2016 脆弱性診断研究会 Security Testing Workshop 6
  2. 2. ZAP作業ディレクトリ変更 バッチファイル(Windows) シェルスクリプト (OS X, CentOS, Ubuntu, etc) Qiitaで公開中

    http://qiita.com/nilfigo/items/0c6d76bd94deb8dee05d set zap_user_dir="C:¥Users¥user¥path¥to¥dir" java -jar zap-2.5.0.jar -dir %zap_user_dir% %* ZAP_USER_DIR=/home/user/path/to/dir java -jar zap-2.5.0.jar -dir $ZAP_USER_DIR %* © 2016 脆弱性診断研究会 Security Testing Workshop 10
  3. 3.a.ii. 3項目以上で認証 4. テンプレートからスクリプトを作成して改造 © 2016 脆弱性診断研究会 Security Testing Workshop

    29 * スクリプトの一部抜粋 * // Prepare the login request details requestUri = new org.apache.commons.httpclient.URI(paramsValues.get("Target URL"), false); requestMethod = org.parosproxy.paros.network.HttpRequestHeader.POST; // Build the request body using the credentials values extraPostData = paramsValues.get("Extra POST data"); requestBody = paramsValues.get("Group field") + "=" + encodeURIComponent(credentials.getParam("Group")); requestBody+= "&" + paramsValues.get("Username field") + "=" + encodeURIComponent(credentials.getParam("Username")); requestBody+= "&" + paramsValues.get("Password field") + "=" + encodeURIComponent(credentials.getParam("Password")); if (extraPostData.trim().length() > 0) {
  4. 資料  OWASP ZAP ハンズオンセミナー 「第4回セキュリティ診断(自分でしたら)いかんのか?( OWASP ZAPなら)ええんやで(^ ^)」内容まとめ •

    http://securitymemo.blogspot.jp/2014/12/owasp-zap-4owasp-zap.html  FoxyProxy Standard • http://getfoxyproxy.org/downloads.html • http://qiita.com/nilfigo/items/c8b5e8321e63531640a9  OWASP ZAP翻訳プロジェクト • https://crowdin.com/project/owasp-zap/ja • http://qiita.com/nightyknite/items/402e639b9d64d8f8eca5  Proxy War • http://www.slideshare.net/zaki4649/proxy-war-42161988 © 2016 脆弱性診断研究会 Security Testing Workshop 42
  5. 今後に予定しているセミナーの例  OWASP ZAP Rookies  ローカルプロキシと手動診断  ウェブ健康診断のススメ 

    脆弱性診断ってどうすればいいの? © 2016 脆弱性診断研究会 Security Testing Workshop 43
  6. OWASP ZAP Rookies  OWASP ZAPとブラウザの設定  スキャンポリシー  静的スキャン

     動的スキャン(自動診断)  診断結果確認と保存 © 2016 脆弱性診断研究会 Security Testing Workshop 44
  7. ローカルプロキシと手動診断  OWASP ZAP  Burp Suite  Fiddler2 

    各ツールの特徴  多段プロキシ!のコツ © 2016 脆弱性診断研究会 Security Testing Workshop 45
  8. 興味があるのは?  OWASP ZAP Rookies  ローカルプロキシと手動診断  ウェブ健康診断のススメ 

    脆弱性診断ってどうすればいいの? アンケートにご協力いただきたく https://goo.gl/forms/2IGkqViXpQr3KoPw1 © 2016 脆弱性診断研究会 Security Testing Workshop 48