Enviar búsqueda
Cargar
診断ツールの使い方(Owasp zapの場合)
•
2 recomendaciones
•
5,429 vistas
S
shingo inafuku
Seguir
OWASP Evening Okinawa #6で登壇した際のスライドです。
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 57
Descargar ahora
Descargar para leer sin conexión
Recomendados
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
とある診断員とAWS
とある診断員とAWS
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
NTT DATA Technology & Innovation
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
Keycloak入門
Keycloak入門
Hiroyuki Wada
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
Recomendados
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
とある診断員とAWS
とある診断員とAWS
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
NTT DATA Technology & Innovation
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
Keycloak入門
Keycloak入門
Hiroyuki Wada
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
Akihiro Suda
初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!
Tetsutaro Watanabe
Azure Media Services 大全
Azure Media Services 大全
Daiyu Hatakeyama
KafkaとAWS Kinesisの比較
KafkaとAWS Kinesisの比較
Yoshiyasu SAEKI
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
NTT DATA Technology & Innovation
フロー効率性とリソース効率性について #xpjug
フロー効率性とリソース効率性について #xpjug
Itsuki Kuroda
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
Amazon Web Services Japan
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
YoshioSawada
Proxy War
Proxy War
zaki4649
実環境にTerraform導入したら驚いた
実環境にTerraform導入したら驚いた
Akihiro Kuwano
Apache Avro vs Protocol Buffers
Apache Avro vs Protocol Buffers
Seiya Mizuno
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
NTT DATA Technology & Innovation
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
Masahito Zembutsu
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
シスコシステムズ合同会社
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
NTT DATA Technology & Innovation
Keycloakのステップアップ認証について
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
Hiroaki Kuramochi
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
Más contenido relacionado
La actualidad más candente
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
Akihiro Suda
初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!
Tetsutaro Watanabe
Azure Media Services 大全
Azure Media Services 大全
Daiyu Hatakeyama
KafkaとAWS Kinesisの比較
KafkaとAWS Kinesisの比較
Yoshiyasu SAEKI
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
NTT DATA Technology & Innovation
フロー効率性とリソース効率性について #xpjug
フロー効率性とリソース効率性について #xpjug
Itsuki Kuroda
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
Amazon Web Services Japan
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
YoshioSawada
Proxy War
Proxy War
zaki4649
実環境にTerraform導入したら驚いた
実環境にTerraform導入したら驚いた
Akihiro Kuwano
Apache Avro vs Protocol Buffers
Apache Avro vs Protocol Buffers
Seiya Mizuno
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
NTT DATA Technology & Innovation
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
Masahito Zembutsu
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
シスコシステムズ合同会社
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
NTT DATA Technology & Innovation
Keycloakのステップアップ認証について
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
La actualidad más candente
(20)
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!
Azure Media Services 大全
Azure Media Services 大全
KafkaとAWS Kinesisの比較
KafkaとAWS Kinesisの比較
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
フロー効率性とリソース効率性について #xpjug
フロー効率性とリソース効率性について #xpjug
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
Proxy War
Proxy War
実環境にTerraform導入したら驚いた
実環境にTerraform導入したら驚いた
Apache Avro vs Protocol Buffers
Apache Avro vs Protocol Buffers
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Keycloak拡張入門
Keycloak拡張入門
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
Keycloakのステップアップ認証について
Keycloakのステップアップ認証について
Similar a 診断ツールの使い方(Owasp zapの場合)
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
Hiroaki Kuramochi
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
OWASP_Kyushu_Local_Chapter_Meeting_7th
OWASP_Kyushu_Local_Chapter_Meeting_7th
ShuyaMotouchi1
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
OWASP Projects
OWASP Projects
Takanori Nakanowatari
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
phpcon kansai 20140628
phpcon kansai 20140628
ichikaway
アジャイルをシミュレーションで理解する
アジャイルをシミュレーションで理解する
Akiyah
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
A Report on process Assessment for open source projects
A Report on process Assessment for open source projects
Kiyoshi Ogawa
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
v6app
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
OSSラボ株式会社
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
oshiro_seiya
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
S Akai
20161111 java one2016-feedback
20161111 java one2016-feedback
Takashi Ito
OpenStack Now!
OpenStack Now!
Hideki Saito
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Riotaro OKADA
Similar a 診断ツールの使い方(Owasp zapの場合)
(20)
OWASP Proactive Control2016 Japanese
OWASP Proactive Control2016 Japanese
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
OWASP_Kyushu_Local_Chapter_Meeting_7th
OWASP_Kyushu_Local_Chapter_Meeting_7th
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
OWASP Projects
OWASP Projects
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
phpcon kansai 20140628
phpcon kansai 20140628
アジャイルをシミュレーションで理解する
アジャイルをシミュレーションで理解する
Owasp top10 HandsOn
Owasp top10 HandsOn
A Report on process Assessment for open source projects
A Report on process Assessment for open source projects
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
Site Reliability Engineering (SRE)を可能にするOpenPIEのご紹介
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出
遅いクエリと向き合う仕組み #CybozuMeetup
遅いクエリと向き合う仕組み #CybozuMeetup
20161111 java one2016-feedback
20161111 java one2016-feedback
OpenStack Now!
OpenStack Now!
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
シフトレフト戦略と沖縄県
シフトレフト戦略と沖縄県
Último
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
Último
(11)
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
診断ツールの使い方(Owasp zapの場合)
1.
診断ツールの使い方 OWASP ZAPの場合
2.
自己紹介 名前:稲福 真悟 所属:株式会社シーエー・アドバンス 技術統括本部 業務:Webアプリケーション脆弱性診断 2
3.
OWASP ZAPについて ”OWASP ZAPは無料で使えるオープンソースのウェブアプ リケーション脆弱性診断ツールでありGithub上にソースコー ドが公開されています。” ※参考記事 OWASP
ZAPではじめる2016年のウェブアプリケーションセキュリティ http://gihyo.jp/dev/column/newyear/2016/owasp ・動的スキャン ・スパイダー検索 ・ローカル・プロキシ ・レポート出力 などなど 3
4.
目次 ・準備 ・動的スキャン ・結果の保存 4
5.
目次 ・準備 ・動的スキャン ・結果の保存 ※今回は簡易的な診断を初学者の方向けに おすすめする内容になります。 動的スキャンを行って結果を確認するところまで このスライドで説明していきます。 5
6.
目次 ・準備 ・動的スキャン ・結果の保存 ※環境は下記です。 OWASP ZAP 2.7.0 macOS
Sierra 10.12.5 iOS 10.3.2 java version 1.8.0_144 Google Chrome 62.0.3202.94 6
7.
・準備 ・動的スキャン ・結果の保存 ※Macのブラウザ(Chrome)と、iPhoneの通信を OWASP ZAPで取得できるようにします。 7
8.
準備 >OWASP ZAP ・ダウンロード ・起動 ・ポートの設定 8
9.
準備 >OWASP ZAP
>ダウンロード OWASP Zed Attack Proxy Project 9
10.
準備 >OWASP ZAP 今回使用するパッケージ ZAP
2.7.0 Standard > Cross Platform Package 10
11.
準備 >OWASP ZAP
>起動 11
12.
準備 >OWASP ZAP
>起動 ・起動時にたまによくあること 「ポートで待ちうけできません (ポート番号)」 このエラーがでた場合は、 設定ポートが使用されている状態です。 12
13.
準備 >OWASP ZAP
>ポートの設定 ツール内のオプションから、 Local Proxiesを選択して、 ポートを任意の番号に設定します。 ※今回は「ポート番号:8080」に設定しました。 13
14.
準備 >OWASP ZAP
>ポートの設定 14
15.
準備 >ブラウザの設定 >Chrome 1.Chromeのプロキシ設定 2.アドオンの設定 3.証明書のインストール 15
16.
準備 >ブラウザの設定 >Chrome 今回は下記のアドオンを使用します。 Proxy
SwitchyOmega https://chrome.google.com/webstore/detail/proxy-switchyo mega/padekgcemlokbadohgkifijomclgjgif 16
17.
準備 >ブラウザの設定 >Chrome 17
18.
準備 >ブラウザの設定 >Chrome Proxy
SwitchyOmega設定画面の 「New Profile」から、 新しく設定を作成して保存します。 18
19.
準備 >ブラウザの設定 >Chrome 19
20.
準備 >ブラウザの設定 >Chrome 20
21.
準備 >ブラウザの設定 >Chrome アドオンを有効にするため、 ツールバーのアイコンをクリックして、 作成したプロキシ設定を選択します。 21
22.
準備 >ブラウザの設定 >Chrome 22
23.
準備 >ブラウザの設定 >Chrome アドオンを有効にすると、 ブラウザが自動で更新されて、 履歴タブ内に通信が入ります! 23
24.
準備 >証明書 httpsのサイトにアクセスすると、 証明書エラーが発生しますが 証明書を登録すると回避できます。 24
25.
準備 >証明書の取得 ZAPのツールバー内のオプションから、 ダイナミックSSL証明書を選択して、 ルートCA証明書を保存します。 25
26.
準備 >証明書の取得 26
27.
準備 >証明書のインストール(Mac) さきほど取得した証明書を キーチェーンアクセスに追加して 「常に信頼」するように設定します。 27
28.
準備 >証明書のインストール(Mac) 1.「OWASP Zed
Attack Proxy Root CA」を キーチェーンアクセス設定に追加 2.「このルート証明書は信頼されていません」と表示 されていることを確認 3.追加した証明書を選択 28
29.
準備 >証明書のインストール(Mac) 29
30.
準備 >証明書のインストール(Mac) 4.コンテキストメニューから「情報を見る」画面を表示 5.「▼信頼」の「この証明書を使用するとき」で「常に 信頼」と設定する 6.「この証明書はこのアカウントにとって信頼されて いるものとして指定されています」に変更 30
31.
準備 >証明書のインストール(Mac) 31
32.
準備 >証明書のインストール(Mac) 32
33.
準備 >証明書 >確認 証明書エラーにならず、 履歴タブに通信の内容が 追加されていればOKです! 33
34.
準備 >iPhoneの設定 1.iPhone側でWi-FiのHTTPプロキシ設定 2.証明書のインストール 34
35.
準備 >iPhoneの設定 ZAPを起動しているPCと同じWi-Fiに接続して、 iPhoneの設定にあるWi-Fi情報画面で、 「HTTPプロキシ」をMacのIPアドレスとポートに設定 します。 35
36.
準備 >iPhoneの設定 36
37.
準備 >iPhoneの設定 ZAPのLocal Proxiesで Addressを
0.0.0.0 に設定します。 同じネットワーク内からアクセス出来るようにするので、 信頼できないネットワークでは、 やらないようにしましょう。 37
38.
準備 >iPhoneの設定 38
39.
準備 >iPhoneの設定 1.iPhone側でWi-FiのHTTPプロキシ設定 2.証明書のインストール 39
40.
準備 >iPhoneの設定 ZAPの証明書を端末側で開いて、 プロファイルにインストールします。 ※端末側で開くには下記の方法で出来ます。 ・iPhoneにメールで添付して送る ・Googleドライブにファイルを置いてiPhoneから開く 40
41.
準備 >iPhoneの設定 > 41
42.
・準備 ・動的スキャン ・結果の保存 42
43.
注意! 自分が管理しているサイトか、 診断の許可を得ているサイトのみに行いま す。 ※不正アクセス禁止法に抵触する可能性も…! 43
44.
スパイダー機能 >サイトクロール 動的スキャンをかける対象のURLに、 スパイダー機能を実行します。 44
45.
スパイダー機能 >サイトクロール 45
46.
スパイダー機能 >サイトクロール 下記のように対象URLが取得されます。 46
47.
動的スキャン >実行 対象のURLについて下記を実行します。 「URL→攻撃→動的スキャン」 47
48.
動的スキャン >進捗 下記画面で確認できます。 48
49.
動的スキャン >結果の確認 検出された脆弱性は、 アラートの項目に表示されます。 49
50.
動的スキャン >結果の確認 「レポート→HTMLレポート作成」からも 結果を確認することができます。 50
51.
動的スキャン >結果の確認 51
52.
診断が終わったら ・準備 ・動的スキャン ・結果の保存 52
53.
診断が終わったら ・「永続化セッション」で、ログを保存 ・ブラウザのプロキシ設定を解除 53
54.
おわりに 今回のスライドではOWASP ZAPを使って、 簡易的な脆弱性診断をする手順を紹介いたしました。 このスライドを取っ掛かりとして、 ちょっと脆弱性をチェックしてみようかなと思っていただけると幸いで す。 繰り返しになりますが…! 自分が管理しているサイトか、診断の許可を得ているサイトのみに 行うようにしてください。 不正アクセス禁止法に抵触する可能性も…! 54
55.
Qiita:@inahukus twitter:@inainainas ※ご質問などあればお気軽にご連絡ください! 55
56.
・OWASP ZAPを使って 通信を取得する設定をサクサク書いてみた(Chrome) https://qiita.com/inahukus/items/9e82801965c9c3e73e13 ・OWASP ZAPを使って 脆弱性の確認(動的スキャン)をする https://qiita.com/inahukus/items/d3deb869c88e407a9f8a ・BurpSuiteのFree版を使うときのプロキシ設定を サクサク書いてみた(Chrome) https://qiita.com/inahukus/items/63a1d9f9fee1ff9af9cc Qiita投稿記事 56
57.
・BurpSuiteFreeを使うときの設定を サクサク書いてみた(iPhoneとAndroid) https://qiita.com/inahukus/items/f6e20e877d8f8a192ed2 ・BurpSuiteの拡張機能(AuthMatrix)を使って アクセス制御のチェックをする https://qiita.com/inahukus/items/cac5977652a1da1758a9 ・BurpSuiteExtensionについての備忘録 https://qiita.com/inahukus/items/5abb89be561e6354a93a Qiita投稿記事 57
Descargar ahora