Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP ZAP Maniacs #6

OWASP ZAP Maniacs #6

2016年8月24日(水)に脆弱性診断研究会が主催したハンズオンセミナー「脆弱性診断ええんやで(^^) OWASP ZAP Maniacs #6」にて使用した資料です。

Qiita:OWASP ZAP Tips & Tricks(作業ディレクトリ変更)
http://qiita.com/nilfigo/items/0c6d76bd94deb8dee05d

また、脆弱性診断研究会のハンズオンセミナー用のリポジトリをGitHubに作成しました。

https://github.com/SecurityTestingWorkshop/HandsOnSeminar

第39回で使用したOWASP ZAP用のスクリプトを上げてます。

Avatar for 脆弱性診断研究会

脆弱性診断研究会

August 24, 2016
Tweet

More Decks by 脆弱性診断研究会

Other Decks in Technology

Transcript

  1. 1. OWASPって何? The Open Web Application Security Project Let's know

    OWASP! https://speakerdeck.com/owaspjapan/lets-know-owasp-number-bpstudy20160226 工程別活用可能な資料・ツールの紹介 https://speakerdeck.com/owaspjapan/owasp-contents-reference OWASPの歩き方 https://speakerdeck.com/owaspjapan/what-is-owasp-20160319innovationegg7th © 2016 脆弱性診断研究会 Security Testing Workshop 6
  2. 2. ZAP作業ディレクトリ変更 バッチファイル(Windows) シェルスクリプト (OS X, CentOS, Ubuntu, etc) Qiitaで公開中

    http://qiita.com/nilfigo/items/0c6d76bd94deb8dee05d set zap_user_dir="C:¥Users¥user¥path¥to¥dir" java -jar zap-2.5.0.jar -dir %zap_user_dir% %* ZAP_USER_DIR=/home/user/path/to/dir java -jar zap-2.5.0.jar -dir $ZAP_USER_DIR %* © 2016 脆弱性診断研究会 Security Testing Workshop 10
  3. 3.a.ii. 3項目以上で認証 4. テンプレートからスクリプトを作成して改造 © 2016 脆弱性診断研究会 Security Testing Workshop

    29 * スクリプトの一部抜粋 * // Prepare the login request details requestUri = new org.apache.commons.httpclient.URI(paramsValues.get("Target URL"), false); requestMethod = org.parosproxy.paros.network.HttpRequestHeader.POST; // Build the request body using the credentials values extraPostData = paramsValues.get("Extra POST data"); requestBody = paramsValues.get("Group field") + "=" + encodeURIComponent(credentials.getParam("Group")); requestBody+= "&" + paramsValues.get("Username field") + "=" + encodeURIComponent(credentials.getParam("Username")); requestBody+= "&" + paramsValues.get("Password field") + "=" + encodeURIComponent(credentials.getParam("Password")); if (extraPostData.trim().length() > 0) {
  4. 資料  OWASP ZAP ハンズオンセミナー 「第4回セキュリティ診断(自分でしたら)いかんのか?( OWASP ZAPなら)ええんやで(^ ^)」内容まとめ •

    http://securitymemo.blogspot.jp/2014/12/owasp-zap-4owasp-zap.html  FoxyProxy Standard • http://getfoxyproxy.org/downloads.html • http://qiita.com/nilfigo/items/c8b5e8321e63531640a9  OWASP ZAP翻訳プロジェクト • https://crowdin.com/project/owasp-zap/ja • http://qiita.com/nightyknite/items/402e639b9d64d8f8eca5  Proxy War • http://www.slideshare.net/zaki4649/proxy-war-42161988 © 2016 脆弱性診断研究会 Security Testing Workshop 42
  5. 今後に予定しているセミナーの例  OWASP ZAP Rookies  ローカルプロキシと手動診断  ウェブ健康診断のススメ 

    脆弱性診断ってどうすればいいの? © 2016 脆弱性診断研究会 Security Testing Workshop 43
  6. OWASP ZAP Rookies  OWASP ZAPとブラウザの設定  スキャンポリシー  静的スキャン

     動的スキャン(自動診断)  診断結果確認と保存 © 2016 脆弱性診断研究会 Security Testing Workshop 44
  7. ローカルプロキシと手動診断  OWASP ZAP  Burp Suite  Fiddler2 

    各ツールの特徴  多段プロキシ!のコツ © 2016 脆弱性診断研究会 Security Testing Workshop 45
  8. 興味があるのは?  OWASP ZAP Rookies  ローカルプロキシと手動診断  ウェブ健康診断のススメ 

    脆弱性診断ってどうすればいいの? アンケートにご協力いただきたく https://goo.gl/forms/2IGkqViXpQr3KoPw1 © 2016 脆弱性診断研究会 Security Testing Workshop 48