Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP ZAPのススメ
Search
Yuho Kameda
March 28, 2014
Technology
3
3.7k
OWASP ZAPのススメ
2014/03/28 #ssmjp にてプレゼンテーションをした際の日本語資料です。
Yuho Kameda
March 28, 2014
Tweet
Share
More Decks by Yuho Kameda
See All by Yuho Kameda
How to use OWASP ZAP & Vulnerabilities Slikmap
ykame
0
9k
Enjoy Daily Life by handy tool
ykame
0
100
Find Trust-Information -Public- 20170630 #ssmjp
ykame
1
2.5k
Intel CTF and Open xINT CTF 20161220
ykame
1
1.2k
Hey Siri! Hello Barbie! ssmjp
ykame
0
910
How to create the alert by script of ZAP
ykame
2
710
[bpstudy] OWASP ZAP Vulnerable Assesment.
ykame
2
1.3k
What is ZAP?
ykame
0
510
MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29
ykame
2
540
Other Decks in Technology
See All in Technology
アプリケーション固有の「ロジックの脆弱性」を防ぐ開発者のためのセキュリティ観点
flatt_security
28
10k
17年のQA経験が導いたスクラムマスターへの道 / 17 Years in QA to Scrum Master
toma_sm
0
400
職種に名前が付く、ということ/The fact that a job title has a name
bitkey
1
240
Restarting_SRE_Road_to_SRENext_.pdf
_awache
0
160
Tirez profit de Messenger pour améliorer votre architecture
tucksaun
1
140
PostgreSQL Unconference #52 pg_tde
nori_shinoda
1
200
年末調整プロダクトの内部品質改善活動について
kaomi_wombat
0
210
どっちの API SHOW?SharePoint 開発における SharePoint REST API Microsoft Graph API の違い / Which API show? Differences between Microsoft Graph API and SharePoint REST API
karamem0
0
110
モジュラーモノリスでスケーラブルなシステムを作る - BASE のリアーキテクチャのいま
panda_program
7
2k
非エンジニアにも伝えるメールセキュリティ / Email security for non-engineers
ykanoh
13
3.9k
Amazon Q Developer 他⽣成AIと⽐較してみた
takano0131
1
120
セマンティックレイヤー入門
ikkimiyazaki
8
3.2k
Featured
See All Featured
4 Signs Your Business is Dying
shpigford
183
22k
A better future with KSS
kneath
238
17k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.7k
How to Think Like a Performance Engineer
csswizardry
22
1.5k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
51
2.4k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Building Your Own Lightsaber
phodgson
104
6.3k
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.6k
KATA
mclloyd
29
14k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Transcript
OWASP ZAPのススメ #ssmjp 2014/03/28 亀田 勇歩 @YuhoKameda
Agenda • 自己紹介 • ZAP機能紹介 • ZAPの使い方 • ZAPのコミュニティ紹介 •
まとめ
自己紹介
Profile 亀田 勇歩 (Yuho Kameda) – Twitter : @YuhoKameda 活動
– ZAP Evangelist – ZAPハンズオントレーニング in AppSec APAC – 『OWASP Zed Attack Proxy 運用マニュアル』執筆 協力
ZAP Evangelist
ZAPハンズオントレーニング in AppSec APAC
『OWASP Zed Attack Proxy 運用マニュアル』執筆協力 • Ver 2.1.0版にて作成 • インストール手順から
各種メニューまで
OWASP ZAP • Paros version:3.2.13をフォークしたもの • 簡単に使える、Webアプリケーションの脆弱性を発 見するための統合ペネトレーションツール • https://code.google.com/p/zaproxy/
• https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開 https://www.ipa.go.jp/about/technicalwatch/20131212.html
ZAP機能紹介(初心者向け)
Quick Start • 開始URLを指定し検査を行う • 操作が簡単
スパイダー検索 • 開始URLを選択し、スパイダー検索 • 簡単にサイトをクロールしてくれる
ブレーク機能 • リクエストをブレーク • レスポンスをブレーク • 特定条件(カスタム)の場合 にブレーク
ZAP機能紹介(中級者向け)
CSRFトークン • トークンに用いられるパラ メータを指定 • 使用する場合、オプション にて設定
強制ブラウズ • ディレクトリ調査 • カスタマイズも可能 • directory-list-1.0.txt 141,694件 収録 •
directory-list-2.3-big.txt 1,273,819件 収録 • directory-list-2.3-medium.txt 220,546件 収録 • directory-list-2.3-small.txt 87,650件 収録 • directory-***2.3-big.txt 1,185,240件 収録 • directory-***2.3-medium.txt 207,619件 収録 • directory-***2.3-small.txt 81,643件 収録
Fuzzer
Fuzzer • 攻撃文字列を連続試行 • 「Reflected」で簡単判別 • レスポンスで、すぐ確認 可能 • 試行パターンが豊富
– Format String Payloads – SQL Injection – Cross Site Scripting – など
ZAP機能紹介(上級者向け)
ZAP Script • 様々な状況下でスクリプトを実行 – Passive Rules • パッシブスキャン実行時に実行 –
Active Rules • 動的スキャン実行時に実行 – プロキシ • ZAPをプロキシとして使用する時 に実行 – Stand Alone • 手動で実行 – Targeted • 指定したURLに対して実行
Plug-n-Hack • Firefoxのアドオン • 有効にした後、Shift+F2で起動 • コマンドでZAP操作 – zap http-session
– zap record – zap scan – zap session – zap spider – …
Plug-n-Hack 22
ZAP API 23
Ajax Spider 24
Ajax Spider • Ajaxベースの動的解析ツール • Crawljax (http://crawljax.com/)
Manage Add-ons
ZAPの基本的な使い方
Context設定 • スコープを指定 – 検査対象を明示
除外設定 • (必要がある場合、)検査に 不要なリクエストを除外
Spider検索 • スコープ内をSpider検索
動的スキャン • スコープ内を動的スキャン – All In Scope – Site Scan
– Subtree – Single URL Scan
ZAP SCRIPTの使い方
言語スクリプトのアドオン追加 1. 各言語スクリプトのアドオン追加 i. 「Manage Add-ons」の「Marketplace」にアクセスする。 ii. 使用したい言語のアドオンをチェック iii. 「Install
Selected」を押下する。 ≪選択できるアドオン≫ – Zest - Scripting Security Tests – Python Scripting – Ruby scripting – など
スクリプトの作成 2. スクリプトの作成 i. 「Scripts」タブを選択 ii. 「New Script」を選択、もしくは「Templates」内のスクリプト を右クリックし「New Script」を選択
iii. 入力欄を選択し、「保存」を押下しスクリプトを作成 iv. 「Script Console」の結果出力部分に結果が表示される スクリプト実行方法 Passive Rules/Active Rules/プロキシ 「Enable Script」を選択し有効にする Stand Alone 「Script Console」タブにある「Run」を押下し実行する Targeted 「履歴」内か「サイト」タブ内のURLを右クリックし、 「Invoke with script」を選択し実行する
スクリプト実行例 • Traverse sites tree.js – ページ一覧抽出 • Find HTML
comments.js – HTMLコメント抽出
ZESTスクリプト例 • 一連の遷移をレコードし、マクロ化 – トークンやパラメータの引き渡しも可能
ZAPコミュニティの紹介
Google Group • OWASP ZAP Developer Group – メンバー数:314人 –
開始日:2010/08/17 – 主な内容 • ZAP開発に関すること • Extensionの開発 • バグ修正 • OWASP ZAP User Group – メンバー数:214人 – 開始日:2012/05/22 – 主な内容 • 使い方の質問 • 実装してほしいリクエスト
Google Group (NEW!) • OWASP ZAP Scripts – メンバー数:11人 –
開始日:2014/03/26 – 主な内容 • ZAPスクリプトを共有するためのグループ
Translations for the OWASP ZAP (https://crowdin.net/project/owasp-zap) • ZAP翻訳プロジェクト • 日本語翻訳度は26%
(2014/3/28現在) • だれでも参加可能
まとめ
まとめ • ZAPは、初心者には使いやすい、上級者には拘りを 実現できる検査ツール • 直感的に使いづらい部分は、使い方のコツを広めて いく • ターゲットを絞ったハンズオン(デモ形式)による教育 機会は非常に有効
• 幅広い層の方にZAPを使ってほしい! (Web開発/ 情シス/診断業務など)
Any Question? • Social Account – Twitter : @YuhoKameda •
E-mail –
[email protected]
• OWASP –
[email protected]
– https://www.owasp.org/index.php/User:Yuho_Kameda