Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP ZAPのススメ
Search
Yuho Kameda
March 28, 2014
Technology
3
3.7k
OWASP ZAPのススメ
2014/03/28 #ssmjp にてプレゼンテーションをした際の日本語資料です。
Yuho Kameda
March 28, 2014
Tweet
Share
More Decks by Yuho Kameda
See All by Yuho Kameda
How to use OWASP ZAP & Vulnerabilities Slikmap
ykame
0
8.8k
Enjoy Daily Life by handy tool
ykame
0
91
Find Trust-Information -Public- 20170630 #ssmjp
ykame
1
2.4k
Intel CTF and Open xINT CTF 20161220
ykame
1
1.2k
Hey Siri! Hello Barbie! ssmjp
ykame
0
860
How to create the alert by script of ZAP
ykame
2
660
[bpstudy] OWASP ZAP Vulnerable Assesment.
ykame
2
1.3k
What is ZAP?
ykame
0
480
MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29
ykame
2
520
Other Decks in Technology
See All in Technology
とあるユーザー企業におけるリスクベースで考えるセキュリティ業務のお話し
4su_para
3
320
Vueで Webコンポーネントを作って Reactで使う / 20241030-cloudsign-vuefes_after_night
bengo4com
4
2.5k
現地でMeet Upをやる場合の注意点〜反省点を添えて〜
shotashiratori
0
520
「最高のチューニング」をしないために / hack@delta 24.10
fujiwara3
21
3.4k
CyberAgent 生成AI Deep Dive with Amazon Web Services / genai-aws
cyberagentdevelopers
PRO
1
480
APIテスト自動化の勘所
yokawasa
7
4.2k
Figma Dev Modeで進化するデザインとエンジニアリングの協働 / figma-with-engineering
cyberagentdevelopers
PRO
1
430
AWS CDKでデータリストアの運用、どのように設計する?~Aurora・EFSの実践事例を紹介~/aws-cdk-data-restore-aurora-efs
mhrtech
4
650
独自ツール開発でスタジオ撮影をDX!「VLS(Virtual LED Studio)」 / dx-studio-vls
cyberagentdevelopers
PRO
1
180
最速最小からはじめるデータプロダクト / Data Product MVP
amaotone
5
740
AIを駆使したゲーム開発戦略: 新設AI組織の取り組み / sge-ai-strategy
cyberagentdevelopers
PRO
1
130
いまならこう作りたい AWSコンテナ[本格]入門ハンズオン 〜2024年版 ハンズオンの構想〜
horsewin
9
2.1k
Featured
See All Featured
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
BBQ
matthewcrist
85
9.3k
Into the Great Unknown - MozCon
thekraken
31
1.5k
Building Applications with DynamoDB
mza
90
6.1k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
3
370
Visualization
eitanlees
144
15k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.2k
The Power of CSS Pseudo Elements
geoffreycrofte
72
5.3k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
355
29k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
14
1.9k
Agile that works and the tools we love
rasmusluckow
327
21k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
790
Transcript
OWASP ZAPのススメ #ssmjp 2014/03/28 亀田 勇歩 @YuhoKameda
Agenda • 自己紹介 • ZAP機能紹介 • ZAPの使い方 • ZAPのコミュニティ紹介 •
まとめ
自己紹介
Profile 亀田 勇歩 (Yuho Kameda) – Twitter : @YuhoKameda 活動
– ZAP Evangelist – ZAPハンズオントレーニング in AppSec APAC – 『OWASP Zed Attack Proxy 運用マニュアル』執筆 協力
ZAP Evangelist
ZAPハンズオントレーニング in AppSec APAC
『OWASP Zed Attack Proxy 運用マニュアル』執筆協力 • Ver 2.1.0版にて作成 • インストール手順から
各種メニューまで
OWASP ZAP • Paros version:3.2.13をフォークしたもの • 簡単に使える、Webアプリケーションの脆弱性を発 見するための統合ペネトレーションツール • https://code.google.com/p/zaproxy/
• https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開 https://www.ipa.go.jp/about/technicalwatch/20131212.html
ZAP機能紹介(初心者向け)
Quick Start • 開始URLを指定し検査を行う • 操作が簡単
スパイダー検索 • 開始URLを選択し、スパイダー検索 • 簡単にサイトをクロールしてくれる
ブレーク機能 • リクエストをブレーク • レスポンスをブレーク • 特定条件(カスタム)の場合 にブレーク
ZAP機能紹介(中級者向け)
CSRFトークン • トークンに用いられるパラ メータを指定 • 使用する場合、オプション にて設定
強制ブラウズ • ディレクトリ調査 • カスタマイズも可能 • directory-list-1.0.txt 141,694件 収録 •
directory-list-2.3-big.txt 1,273,819件 収録 • directory-list-2.3-medium.txt 220,546件 収録 • directory-list-2.3-small.txt 87,650件 収録 • directory-***2.3-big.txt 1,185,240件 収録 • directory-***2.3-medium.txt 207,619件 収録 • directory-***2.3-small.txt 81,643件 収録
Fuzzer
Fuzzer • 攻撃文字列を連続試行 • 「Reflected」で簡単判別 • レスポンスで、すぐ確認 可能 • 試行パターンが豊富
– Format String Payloads – SQL Injection – Cross Site Scripting – など
ZAP機能紹介(上級者向け)
ZAP Script • 様々な状況下でスクリプトを実行 – Passive Rules • パッシブスキャン実行時に実行 –
Active Rules • 動的スキャン実行時に実行 – プロキシ • ZAPをプロキシとして使用する時 に実行 – Stand Alone • 手動で実行 – Targeted • 指定したURLに対して実行
Plug-n-Hack • Firefoxのアドオン • 有効にした後、Shift+F2で起動 • コマンドでZAP操作 – zap http-session
– zap record – zap scan – zap session – zap spider – …
Plug-n-Hack 22
ZAP API 23
Ajax Spider 24
Ajax Spider • Ajaxベースの動的解析ツール • Crawljax (http://crawljax.com/)
Manage Add-ons
ZAPの基本的な使い方
Context設定 • スコープを指定 – 検査対象を明示
除外設定 • (必要がある場合、)検査に 不要なリクエストを除外
Spider検索 • スコープ内をSpider検索
動的スキャン • スコープ内を動的スキャン – All In Scope – Site Scan
– Subtree – Single URL Scan
ZAP SCRIPTの使い方
言語スクリプトのアドオン追加 1. 各言語スクリプトのアドオン追加 i. 「Manage Add-ons」の「Marketplace」にアクセスする。 ii. 使用したい言語のアドオンをチェック iii. 「Install
Selected」を押下する。 ≪選択できるアドオン≫ – Zest - Scripting Security Tests – Python Scripting – Ruby scripting – など
スクリプトの作成 2. スクリプトの作成 i. 「Scripts」タブを選択 ii. 「New Script」を選択、もしくは「Templates」内のスクリプト を右クリックし「New Script」を選択
iii. 入力欄を選択し、「保存」を押下しスクリプトを作成 iv. 「Script Console」の結果出力部分に結果が表示される スクリプト実行方法 Passive Rules/Active Rules/プロキシ 「Enable Script」を選択し有効にする Stand Alone 「Script Console」タブにある「Run」を押下し実行する Targeted 「履歴」内か「サイト」タブ内のURLを右クリックし、 「Invoke with script」を選択し実行する
スクリプト実行例 • Traverse sites tree.js – ページ一覧抽出 • Find HTML
comments.js – HTMLコメント抽出
ZESTスクリプト例 • 一連の遷移をレコードし、マクロ化 – トークンやパラメータの引き渡しも可能
ZAPコミュニティの紹介
Google Group • OWASP ZAP Developer Group – メンバー数:314人 –
開始日:2010/08/17 – 主な内容 • ZAP開発に関すること • Extensionの開発 • バグ修正 • OWASP ZAP User Group – メンバー数:214人 – 開始日:2012/05/22 – 主な内容 • 使い方の質問 • 実装してほしいリクエスト
Google Group (NEW!) • OWASP ZAP Scripts – メンバー数:11人 –
開始日:2014/03/26 – 主な内容 • ZAPスクリプトを共有するためのグループ
Translations for the OWASP ZAP (https://crowdin.net/project/owasp-zap) • ZAP翻訳プロジェクト • 日本語翻訳度は26%
(2014/3/28現在) • だれでも参加可能
まとめ
まとめ • ZAPは、初心者には使いやすい、上級者には拘りを 実現できる検査ツール • 直感的に使いづらい部分は、使い方のコツを広めて いく • ターゲットを絞ったハンズオン(デモ形式)による教育 機会は非常に有効
• 幅広い層の方にZAPを使ってほしい! (Web開発/ 情シス/診断業務など)
Any Question? • Social Account – Twitter : @YuhoKameda •
E-mail –
[email protected]
• OWASP –
[email protected]
– https://www.owasp.org/index.php/User:Yuho_Kameda