Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP ZAPのススメ
Search
Yuho Kameda
March 28, 2014
Technology
3
3.7k
OWASP ZAPのススメ
2014/03/28 #ssmjp にてプレゼンテーションをした際の日本語資料です。
Yuho Kameda
March 28, 2014
Tweet
Share
More Decks by Yuho Kameda
See All by Yuho Kameda
How to use OWASP ZAP & Vulnerabilities Slikmap
ykame
0
8.9k
Enjoy Daily Life by handy tool
ykame
0
94
Find Trust-Information -Public- 20170630 #ssmjp
ykame
1
2.4k
Intel CTF and Open xINT CTF 20161220
ykame
1
1.2k
Hey Siri! Hello Barbie! ssmjp
ykame
0
880
How to create the alert by script of ZAP
ykame
2
680
[bpstudy] OWASP ZAP Vulnerable Assesment.
ykame
2
1.3k
What is ZAP?
ykame
0
490
MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29
ykame
2
530
Other Decks in Technology
See All in Technology
10分で学ぶKubernetesコンテナセキュリティ/10min-k8s-container-sec
mochizuki875
3
350
祝!Iceberg祭開幕!re:Invent 2024データレイク関連アップデート10分総ざらい
kniino
3
310
2024年にチャレンジしたことを振り返るぞ
mitchan
0
140
生成AIをより賢く エンジニアのための RAG入門 - Oracle AI Jam Session #20
kutsushitaneko
4
260
新機能VPCリソースエンドポイント機能検証から得られた考察
duelist2020jp
0
230
[Ruby] Develop a Morse Code Learning Gem & Beep from Strings
oguressive
1
170
サーバレスアプリ開発者向けアップデートをキャッチアップしてきた #AWSreInvent #regrowth_fuk
drumnistnakano
0
200
UI State設計とテスト方針
rmakiyama
2
620
【re:Invent 2024 アプデ】 Prompt Routing の紹介
champ
0
150
多領域インシデントマネジメントへの挑戦:ハードウェアとソフトウェアの融合が生む課題/Challenge to multidisciplinary incident management: Issues created by the fusion of hardware and software
bitkey
PRO
2
110
AI時代のデータセンターネットワーク
lycorptech_jp
PRO
1
290
あの日俺達が夢見たサーバレスアーキテクチャ/the-serverless-architecture-we-dreamed-of
tomoki10
0
460
Featured
See All Featured
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.9k
Building a Scalable Design System with Sketch
lauravandoore
460
33k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
2
290
GraphQLとの向き合い方2022年版
quramy
44
13k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Navigating Team Friction
lara
183
15k
Raft: Consensus for Rubyists
vanstee
137
6.7k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Adopting Sorbet at Scale
ufuk
73
9.1k
How STYLIGHT went responsive
nonsquared
95
5.2k
Transcript
OWASP ZAPのススメ #ssmjp 2014/03/28 亀田 勇歩 @YuhoKameda
Agenda • 自己紹介 • ZAP機能紹介 • ZAPの使い方 • ZAPのコミュニティ紹介 •
まとめ
自己紹介
Profile 亀田 勇歩 (Yuho Kameda) – Twitter : @YuhoKameda 活動
– ZAP Evangelist – ZAPハンズオントレーニング in AppSec APAC – 『OWASP Zed Attack Proxy 運用マニュアル』執筆 協力
ZAP Evangelist
ZAPハンズオントレーニング in AppSec APAC
『OWASP Zed Attack Proxy 運用マニュアル』執筆協力 • Ver 2.1.0版にて作成 • インストール手順から
各種メニューまで
OWASP ZAP • Paros version:3.2.13をフォークしたもの • 簡単に使える、Webアプリケーションの脆弱性を発 見するための統合ペネトレーションツール • https://code.google.com/p/zaproxy/
• https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開 https://www.ipa.go.jp/about/technicalwatch/20131212.html
ZAP機能紹介(初心者向け)
Quick Start • 開始URLを指定し検査を行う • 操作が簡単
スパイダー検索 • 開始URLを選択し、スパイダー検索 • 簡単にサイトをクロールしてくれる
ブレーク機能 • リクエストをブレーク • レスポンスをブレーク • 特定条件(カスタム)の場合 にブレーク
ZAP機能紹介(中級者向け)
CSRFトークン • トークンに用いられるパラ メータを指定 • 使用する場合、オプション にて設定
強制ブラウズ • ディレクトリ調査 • カスタマイズも可能 • directory-list-1.0.txt 141,694件 収録 •
directory-list-2.3-big.txt 1,273,819件 収録 • directory-list-2.3-medium.txt 220,546件 収録 • directory-list-2.3-small.txt 87,650件 収録 • directory-***2.3-big.txt 1,185,240件 収録 • directory-***2.3-medium.txt 207,619件 収録 • directory-***2.3-small.txt 81,643件 収録
Fuzzer
Fuzzer • 攻撃文字列を連続試行 • 「Reflected」で簡単判別 • レスポンスで、すぐ確認 可能 • 試行パターンが豊富
– Format String Payloads – SQL Injection – Cross Site Scripting – など
ZAP機能紹介(上級者向け)
ZAP Script • 様々な状況下でスクリプトを実行 – Passive Rules • パッシブスキャン実行時に実行 –
Active Rules • 動的スキャン実行時に実行 – プロキシ • ZAPをプロキシとして使用する時 に実行 – Stand Alone • 手動で実行 – Targeted • 指定したURLに対して実行
Plug-n-Hack • Firefoxのアドオン • 有効にした後、Shift+F2で起動 • コマンドでZAP操作 – zap http-session
– zap record – zap scan – zap session – zap spider – …
Plug-n-Hack 22
ZAP API 23
Ajax Spider 24
Ajax Spider • Ajaxベースの動的解析ツール • Crawljax (http://crawljax.com/)
Manage Add-ons
ZAPの基本的な使い方
Context設定 • スコープを指定 – 検査対象を明示
除外設定 • (必要がある場合、)検査に 不要なリクエストを除外
Spider検索 • スコープ内をSpider検索
動的スキャン • スコープ内を動的スキャン – All In Scope – Site Scan
– Subtree – Single URL Scan
ZAP SCRIPTの使い方
言語スクリプトのアドオン追加 1. 各言語スクリプトのアドオン追加 i. 「Manage Add-ons」の「Marketplace」にアクセスする。 ii. 使用したい言語のアドオンをチェック iii. 「Install
Selected」を押下する。 ≪選択できるアドオン≫ – Zest - Scripting Security Tests – Python Scripting – Ruby scripting – など
スクリプトの作成 2. スクリプトの作成 i. 「Scripts」タブを選択 ii. 「New Script」を選択、もしくは「Templates」内のスクリプト を右クリックし「New Script」を選択
iii. 入力欄を選択し、「保存」を押下しスクリプトを作成 iv. 「Script Console」の結果出力部分に結果が表示される スクリプト実行方法 Passive Rules/Active Rules/プロキシ 「Enable Script」を選択し有効にする Stand Alone 「Script Console」タブにある「Run」を押下し実行する Targeted 「履歴」内か「サイト」タブ内のURLを右クリックし、 「Invoke with script」を選択し実行する
スクリプト実行例 • Traverse sites tree.js – ページ一覧抽出 • Find HTML
comments.js – HTMLコメント抽出
ZESTスクリプト例 • 一連の遷移をレコードし、マクロ化 – トークンやパラメータの引き渡しも可能
ZAPコミュニティの紹介
Google Group • OWASP ZAP Developer Group – メンバー数:314人 –
開始日:2010/08/17 – 主な内容 • ZAP開発に関すること • Extensionの開発 • バグ修正 • OWASP ZAP User Group – メンバー数:214人 – 開始日:2012/05/22 – 主な内容 • 使い方の質問 • 実装してほしいリクエスト
Google Group (NEW!) • OWASP ZAP Scripts – メンバー数:11人 –
開始日:2014/03/26 – 主な内容 • ZAPスクリプトを共有するためのグループ
Translations for the OWASP ZAP (https://crowdin.net/project/owasp-zap) • ZAP翻訳プロジェクト • 日本語翻訳度は26%
(2014/3/28現在) • だれでも参加可能
まとめ
まとめ • ZAPは、初心者には使いやすい、上級者には拘りを 実現できる検査ツール • 直感的に使いづらい部分は、使い方のコツを広めて いく • ターゲットを絞ったハンズオン(デモ形式)による教育 機会は非常に有効
• 幅広い層の方にZAPを使ってほしい! (Web開発/ 情シス/診断業務など)
Any Question? • Social Account – Twitter : @YuhoKameda •
E-mail –
[email protected]
• OWASP –
[email protected]
– https://www.owasp.org/index.php/User:Yuho_Kameda