Suche senden
Hochladen
診断ツールの使い方(Owasp zapの場合)
•
2 gefällt mir
•
5,425 views
S
shingo inafuku
Folgen
OWASP Evening Okinawa #6で登壇した際のスライドです。
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 57
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析
政雄 金森
ネットワークシミュレータで手軽にネットワークのお勉強(GNS3編)
ネットワークシミュレータで手軽にネットワークのお勉強(GNS3編)
Wataru NOGUCHI
いまさら、AWSのネットワーク設計
いまさら、AWSのネットワーク設計
Serverworks Co.,Ltd.
マイクロサービス化設計入門 - AWS Dev Day Tokyo 2017
マイクロサービス化設計入門 - AWS Dev Day Tokyo 2017
Yusuke Suzuki
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話
Yuta Shimada
Empfohlen
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析
政雄 金森
ネットワークシミュレータで手軽にネットワークのお勉強(GNS3編)
ネットワークシミュレータで手軽にネットワークのお勉強(GNS3編)
Wataru NOGUCHI
いまさら、AWSのネットワーク設計
いまさら、AWSのネットワーク設計
Serverworks Co.,Ltd.
マイクロサービス化設計入門 - AWS Dev Day Tokyo 2017
マイクロサービス化設計入門 - AWS Dev Day Tokyo 2017
Yusuke Suzuki
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話
Yuta Shimada
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
Toru Makabe
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
Takeshi Fukuhara
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Etsuji Nakai
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
Jun-ichi Sakamoto
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
ネットワークエンジニア的Ansibleの始め方
ネットワークエンジニア的Ansibleの始め方
akira6592
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみた
Kazumasa Sasazawa
Ansibleはじめよぉ -Infrastructure as Codeを理解-
Ansibleはじめよぉ -Infrastructure as Codeを理解-
Shingo Kitayama
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
Kentaro Ebisawa
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
オープンソースライセンスの基礎と実務
オープンソースライセンスの基礎と実務
Yutaka Kachi
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
脆弱性スキャナVuls(応用編)
脆弱性スキャナVuls(応用編)
Takayuki Ushida
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方
Yoshiyasu SAEKI
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
ライセンスを理解してますか?知っておきたいWordPressとGPLライセンス
ライセンスを理解してますか?知っておきたいWordPressとGPLライセンス
Jun Nogata
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
Hiroaki Kuramochi
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
Weitere ähnliche Inhalte
Was ist angesagt?
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
Toru Makabe
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
Takeshi Fukuhara
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Etsuji Nakai
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
Jun-ichi Sakamoto
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
ネットワークエンジニア的Ansibleの始め方
ネットワークエンジニア的Ansibleの始め方
akira6592
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみた
Kazumasa Sasazawa
Ansibleはじめよぉ -Infrastructure as Codeを理解-
Ansibleはじめよぉ -Infrastructure as Codeを理解-
Shingo Kitayama
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
Kentaro Ebisawa
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
オープンソースライセンスの基礎と実務
オープンソースライセンスの基礎と実務
Yutaka Kachi
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
脆弱性スキャナVuls(応用編)
脆弱性スキャナVuls(応用編)
Takayuki Ushida
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方
Yoshiyasu SAEKI
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
ライセンスを理解してますか?知っておきたいWordPressとGPLライセンス
ライセンスを理解してますか?知っておきたいWordPressとGPLライセンス
Jun Nogata
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
Was ist angesagt?
(20)
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
ネットワークエンジニア的Ansibleの始め方
ネットワークエンジニア的Ansibleの始め方
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみた
Ansibleはじめよぉ -Infrastructure as Codeを理解-
Ansibleはじめよぉ -Infrastructure as Codeを理解-
ネットワークOS野郎 ~ インフラ野郎Night 20160414
ネットワークOS野郎 ~ インフラ野郎Night 20160414
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
オープンソースライセンスの基礎と実務
オープンソースライセンスの基礎と実務
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
脆弱性スキャナVuls(応用編)
脆弱性スキャナVuls(応用編)
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
ライセンスを理解してますか?知っておきたいWordPressとGPLライセンス
ライセンスを理解してますか?知っておきたいWordPressとGPLライセンス
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Ähnlich wie 診断ツールの使い方(Owasp zapの場合)
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
Hiroaki Kuramochi
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
OWASP_Kyushu_Local_Chapter_Meeting_7th
OWASP_Kyushu_Local_Chapter_Meeting_7th
ShuyaMotouchi1
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
OWASP Projects
OWASP Projects
Takanori Nakanowatari
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
phpcon kansai 20140628
phpcon kansai 20140628
ichikaway
アジャイルをシミュレーションで理解する
アジャイルをシミュレーションで理解する
Akiyah
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
A Report on process Assessment for open source projects
A Report on process Assessment for open source projects
Kiyoshi Ogawa
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
v6app
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
OSSラボ株式会社
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
oshiro_seiya
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
S Akai
20161111 java one2016-feedback
20161111 java one2016-feedback
Takashi Ito
OpenStack Now!
OpenStack Now!
Hideki Saito
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA
Ähnlich wie 診断ツールの使い方(Owasp zapの場合)
(20)
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
OWASP_Kyushu_Local_Chapter_Meeting_7th
OWASP_Kyushu_Local_Chapter_Meeting_7th
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
OWASP Projects
OWASP Projects
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
phpcon kansai 20140628
phpcon kansai 20140628
アジャイルをシミュレーションで理解する
アジャイルをシミュレーションで理解する
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
Owasp top10 HandsOn
Owasp top10 HandsOn
A Report on process Assessment for open source projects
A Report on process Assessment for open source projects
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
20161111 java one2016-feedback
20161111 java one2016-feedback
OpenStack Now!
OpenStack Now!
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
診断ツールの使い方(Owasp zapの場合)
1.
診断ツールの使い方 OWASP ZAPの場合
2.
自己紹介 名前:稲福 真悟 所属:株式会社シーエー・アドバンス 技術統括本部 業務:Webアプリケーション脆弱性診断 2
3.
OWASP ZAPについて ”OWASP ZAPは無料で使えるオープンソースのウェブアプ リケーション脆弱性診断ツールでありGithub上にソースコー ドが公開されています。” ※参考記事 OWASP
ZAPではじめる2016年のウェブアプリケーションセキュリティ http://gihyo.jp/dev/column/newyear/2016/owasp ・動的スキャン ・スパイダー検索 ・ローカル・プロキシ ・レポート出力 などなど 3
4.
目次 ・準備 ・動的スキャン ・結果の保存 4
5.
目次 ・準備 ・動的スキャン ・結果の保存 ※今回は簡易的な診断を初学者の方向けに おすすめする内容になります。 動的スキャンを行って結果を確認するところまで このスライドで説明していきます。 5
6.
目次 ・準備 ・動的スキャン ・結果の保存 ※環境は下記です。 OWASP ZAP 2.7.0 macOS
Sierra 10.12.5 iOS 10.3.2 java version 1.8.0_144 Google Chrome 62.0.3202.94 6
7.
・準備 ・動的スキャン ・結果の保存 ※Macのブラウザ(Chrome)と、iPhoneの通信を OWASP ZAPで取得できるようにします。 7
8.
準備 >OWASP ZAP ・ダウンロード ・起動 ・ポートの設定 8
9.
準備 >OWASP ZAP
>ダウンロード OWASP Zed Attack Proxy Project 9
10.
準備 >OWASP ZAP 今回使用するパッケージ ZAP
2.7.0 Standard > Cross Platform Package 10
11.
準備 >OWASP ZAP
>起動 11
12.
準備 >OWASP ZAP
>起動 ・起動時にたまによくあること 「ポートで待ちうけできません (ポート番号)」 このエラーがでた場合は、 設定ポートが使用されている状態です。 12
13.
準備 >OWASP ZAP
>ポートの設定 ツール内のオプションから、 Local Proxiesを選択して、 ポートを任意の番号に設定します。 ※今回は「ポート番号:8080」に設定しました。 13
14.
準備 >OWASP ZAP
>ポートの設定 14
15.
準備 >ブラウザの設定 >Chrome 1.Chromeのプロキシ設定 2.アドオンの設定 3.証明書のインストール 15
16.
準備 >ブラウザの設定 >Chrome 今回は下記のアドオンを使用します。 Proxy
SwitchyOmega https://chrome.google.com/webstore/detail/proxy-switchyo mega/padekgcemlokbadohgkifijomclgjgif 16
17.
準備 >ブラウザの設定 >Chrome 17
18.
準備 >ブラウザの設定 >Chrome Proxy
SwitchyOmega設定画面の 「New Profile」から、 新しく設定を作成して保存します。 18
19.
準備 >ブラウザの設定 >Chrome 19
20.
準備 >ブラウザの設定 >Chrome 20
21.
準備 >ブラウザの設定 >Chrome アドオンを有効にするため、 ツールバーのアイコンをクリックして、 作成したプロキシ設定を選択します。 21
22.
準備 >ブラウザの設定 >Chrome 22
23.
準備 >ブラウザの設定 >Chrome アドオンを有効にすると、 ブラウザが自動で更新されて、 履歴タブ内に通信が入ります! 23
24.
準備 >証明書 httpsのサイトにアクセスすると、 証明書エラーが発生しますが 証明書を登録すると回避できます。 24
25.
準備 >証明書の取得 ZAPのツールバー内のオプションから、 ダイナミックSSL証明書を選択して、 ルートCA証明書を保存します。 25
26.
準備 >証明書の取得 26
27.
準備 >証明書のインストール(Mac) さきほど取得した証明書を キーチェーンアクセスに追加して 「常に信頼」するように設定します。 27
28.
準備 >証明書のインストール(Mac) 1.「OWASP Zed
Attack Proxy Root CA」を キーチェーンアクセス設定に追加 2.「このルート証明書は信頼されていません」と表示 されていることを確認 3.追加した証明書を選択 28
29.
準備 >証明書のインストール(Mac) 29
30.
準備 >証明書のインストール(Mac) 4.コンテキストメニューから「情報を見る」画面を表示 5.「▼信頼」の「この証明書を使用するとき」で「常に 信頼」と設定する 6.「この証明書はこのアカウントにとって信頼されて いるものとして指定されています」に変更 30
31.
準備 >証明書のインストール(Mac) 31
32.
準備 >証明書のインストール(Mac) 32
33.
準備 >証明書 >確認 証明書エラーにならず、 履歴タブに通信の内容が 追加されていればOKです! 33
34.
準備 >iPhoneの設定 1.iPhone側でWi-FiのHTTPプロキシ設定 2.証明書のインストール 34
35.
準備 >iPhoneの設定 ZAPを起動しているPCと同じWi-Fiに接続して、 iPhoneの設定にあるWi-Fi情報画面で、 「HTTPプロキシ」をMacのIPアドレスとポートに設定 します。 35
36.
準備 >iPhoneの設定 36
37.
準備 >iPhoneの設定 ZAPのLocal Proxiesで Addressを
0.0.0.0 に設定します。 同じネットワーク内からアクセス出来るようにするので、 信頼できないネットワークでは、 やらないようにしましょう。 37
38.
準備 >iPhoneの設定 38
39.
準備 >iPhoneの設定 1.iPhone側でWi-FiのHTTPプロキシ設定 2.証明書のインストール 39
40.
準備 >iPhoneの設定 ZAPの証明書を端末側で開いて、 プロファイルにインストールします。 ※端末側で開くには下記の方法で出来ます。 ・iPhoneにメールで添付して送る ・Googleドライブにファイルを置いてiPhoneから開く 40
41.
準備 >iPhoneの設定 > 41
42.
・準備 ・動的スキャン ・結果の保存 42
43.
注意! 自分が管理しているサイトか、 診断の許可を得ているサイトのみに行いま す。 ※不正アクセス禁止法に抵触する可能性も…! 43
44.
スパイダー機能 >サイトクロール 動的スキャンをかける対象のURLに、 スパイダー機能を実行します。 44
45.
スパイダー機能 >サイトクロール 45
46.
スパイダー機能 >サイトクロール 下記のように対象URLが取得されます。 46
47.
動的スキャン >実行 対象のURLについて下記を実行します。 「URL→攻撃→動的スキャン」 47
48.
動的スキャン >進捗 下記画面で確認できます。 48
49.
動的スキャン >結果の確認 検出された脆弱性は、 アラートの項目に表示されます。 49
50.
動的スキャン >結果の確認 「レポート→HTMLレポート作成」からも 結果を確認することができます。 50
51.
動的スキャン >結果の確認 51
52.
診断が終わったら ・準備 ・動的スキャン ・結果の保存 52
53.
診断が終わったら ・「永続化セッション」で、ログを保存 ・ブラウザのプロキシ設定を解除 53
54.
おわりに 今回のスライドではOWASP ZAPを使って、 簡易的な脆弱性診断をする手順を紹介いたしました。 このスライドを取っ掛かりとして、 ちょっと脆弱性をチェックしてみようかなと思っていただけると幸いで す。 繰り返しになりますが…! 自分が管理しているサイトか、診断の許可を得ているサイトのみに 行うようにしてください。 不正アクセス禁止法に抵触する可能性も…! 54
55.
Qiita:@inahukus twitter:@inainainas ※ご質問などあればお気軽にご連絡ください! 55
56.
・OWASP ZAPを使って 通信を取得する設定をサクサク書いてみた(Chrome) https://qiita.com/inahukus/items/9e82801965c9c3e73e13 ・OWASP ZAPを使って 脆弱性の確認(動的スキャン)をする https://qiita.com/inahukus/items/d3deb869c88e407a9f8a ・BurpSuiteのFree版を使うときのプロキシ設定を サクサク書いてみた(Chrome) https://qiita.com/inahukus/items/63a1d9f9fee1ff9af9cc Qiita投稿記事 56
57.
・BurpSuiteFreeを使うときの設定を サクサク書いてみた(iPhoneとAndroid) https://qiita.com/inahukus/items/f6e20e877d8f8a192ed2 ・BurpSuiteの拡張機能(AuthMatrix)を使って アクセス制御のチェックをする https://qiita.com/inahukus/items/cac5977652a1da1758a9 ・BurpSuiteExtensionについての備忘録 https://qiita.com/inahukus/items/5abb89be561e6354a93a Qiita投稿記事 57
Jetzt herunterladen