OWASP ZAPのススメ

Transcript

1. OWASP ZAPのススメ #ssmjp 2014/03/28 亀田 勇歩 @YuhoKameda

2. Agenda • 自己紹介 • ZAP機能紹介 • ZAPの使い方 • ZAPのコミュニティ紹介 •

   まとめ

3. 自己紹介

4. Profile 亀田 勇歩 (Yuho Kameda) – Twitter : @YuhoKameda 活動

   – ZAP Evangelist – ZAPハンズオントレーニング in AppSec APAC – 『OWASP Zed Attack Proxy 運用マニュアル』執筆 協力

5. ZAP Evangelist

6. ZAPハンズオントレーニング in AppSec APAC

7. 『OWASP Zed Attack Proxy 運用マニュアル』執筆協力 • Ver 2.1.0版にて作成 • インストール手順から

   各種メニューまで

8. OWASP ZAP • Paros version:3.2.13をフォークしたもの • 簡単に使える、Webアプリケーションの脆弱性を発 見するための統合ペネトレーションツール • https://code.google.com/p/zaproxy/

   • https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

9. IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開 https://www.ipa.go.jp/about/technicalwatch/20131212.html

10. ZAP機能紹介(初心者向け)

11. Quick Start • 開始URLを指定し検査を行う • 操作が簡単

12. スパイダー検索 • 開始URLを選択し、スパイダー検索 • 簡単にサイトをクロールしてくれる

13. ブレーク機能 • リクエストをブレーク • レスポンスをブレーク • 特定条件(カスタム)の場合 にブレーク

14. ZAP機能紹介(中級者向け)

15. CSRFトークン • トークンに用いられるパラ メータを指定 • 使用する場合、オプション にて設定

16. 強制ブラウズ • ディレクトリ調査 • カスタマイズも可能 • directory-list-1.0.txt 141,694件 収録 •

    directory-list-2.3-big.txt 1,273,819件 収録 • directory-list-2.3-medium.txt 220,546件 収録 • directory-list-2.3-small.txt 87,650件 収録 • directory-***2.3-big.txt 1,185,240件 収録 • directory-***2.3-medium.txt 207,619件 収録 • directory-***2.3-small.txt 81,643件 収録

17. Fuzzer

18. Fuzzer • 攻撃文字列を連続試行 • 「Reflected」で簡単判別 • レスポンスで、すぐ確認 可能 • 試行パターンが豊富

    – Format String Payloads – SQL Injection – Cross Site Scripting – など

19. ZAP機能紹介(上級者向け)

20. ZAP Script • 様々な状況下でスクリプトを実行 – Passive Rules • パッシブスキャン実行時に実行 –

    Active Rules • 動的スキャン実行時に実行 – プロキシ • ZAPをプロキシとして使用する時 に実行 – Stand Alone • 手動で実行 – Targeted • 指定したURLに対して実行

21. Plug-n-Hack • Firefoxのアドオン • 有効にした後、Shift+F2で起動 • コマンドでZAP操作 – zap http-session

    – zap record – zap scan – zap session – zap spider – …

22. Plug-n-Hack 22

23. ZAP API 23

24. Ajax Spider 24

25. Ajax Spider • Ajaxベースの動的解析ツール • Crawljax (http://crawljax.com/)

26. Manage Add-ons

27. ZAPの基本的な使い方

28. Context設定 • スコープを指定 – 検査対象を明示

29. 除外設定 • (必要がある場合、)検査に 不要なリクエストを除外

30. Spider検索 • スコープ内をSpider検索

31. 動的スキャン • スコープ内を動的スキャン – All In Scope – Site Scan

    – Subtree – Single URL Scan

32. ZAP SCRIPTの使い方

33. 言語スクリプトのアドオン追加 1. 各言語スクリプトのアドオン追加 i. 「Manage Add-ons」の「Marketplace」にアクセスする。 ii. 使用したい言語のアドオンをチェック iii. 「Install

    Selected」を押下する。 ≪選択できるアドオン≫ – Zest - Scripting Security Tests – Python Scripting – Ruby scripting – など

34. スクリプトの作成 2. スクリプトの作成 i. 「Scripts」タブを選択 ii. 「New Script」を選択、もしくは「Templates」内のスクリプト を右クリックし「New Script」を選択

    iii. 入力欄を選択し、「保存」を押下しスクリプトを作成 iv. 「Script Console」の結果出力部分に結果が表示される スクリプト実行方法 Passive Rules/Active Rules/プロキシ 「Enable Script」を選択し有効にする Stand Alone 「Script Console」タブにある「Run」を押下し実行する Targeted 「履歴」内か「サイト」タブ内のURLを右クリックし、 「Invoke with script」を選択し実行する

35. スクリプト実行例 • Traverse sites tree.js – ページ一覧抽出 • Find HTML

    comments.js – HTMLコメント抽出

36. ZESTスクリプト例 • 一連の遷移をレコードし、マクロ化 – トークンやパラメータの引き渡しも可能

37. ZAPコミュニティの紹介

38. Google Group • OWASP ZAP Developer Group – メンバー数：314人 –

    開始日：2010/08/17 – 主な内容 • ZAP開発に関すること • Extensionの開発 • バグ修正 • OWASP ZAP User Group – メンバー数：214人 – 開始日：2012/05/22 – 主な内容 • 使い方の質問 • 実装してほしいリクエスト

39. Google Group (NEW!) • OWASP ZAP Scripts – メンバー数：11人 –

    開始日：2014/03/26 – 主な内容 • ZAPスクリプトを共有するためのグループ

40. Translations for the OWASP ZAP (https://crowdin.net/project/owasp-zap) • ZAP翻訳プロジェクト • 日本語翻訳度は26%

    (2014/3/28現在) • だれでも参加可能

41. まとめ

42. まとめ • ZAPは、初心者には使いやすい、上級者には拘りを 実現できる検査ツール • 直感的に使いづらい部分は、使い方のコツを広めて いく • ターゲットを絞ったハンズオン(デモ形式)による教育 機会は非常に有効

    • 幅広い層の方にZAPを使ってほしい！ (Web開発/ 情シス/診断業務など)

43. Any Question? • Social Account – Twitter : @YuhoKameda •

    E-mail – [email protected] • OWASP – [email protected] – https://www.owasp.org/index.php/User:Yuho_Kameda