Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP ZAPで 脆弱性診断士気分を味わってみた話

OWASP ZAPで 脆弱性診断士気分を味わってみた話

Avatar for 石川 博

石川 博

March 07, 2019
Tweet

More Decks by 石川 博

Other Decks in Technology

Transcript

  1. 08"41;"1ͱ͸ʁ w 08"41;FE"UUBDL1SPYZ w 08"41ൃɺແྉͷηΩϡϦςΟπʔϧ w 8FCΞϓϦͷ੬ऑੑݕग़Λαϙʔτ w εύΠμʔػೳʢࣗಈΫϩʔϦϯάʣɺ
 "DUJWF4DBOʢ੬ऑੑ਍அ༻ͷݕࠪจࣈྻͰεΩϟϯʣɺ

    ϩʔΧϧϓϩΩγػೳʢखಈͰͷ੬ऑੑ਍அʣɺFUD w "1*Λୟ͍ͯ֎෦͔Βͷૢ࡞΋Մೳ ͱΓ͋͑ͣɺ๭Πϕϯτ༻ʹͭͬͨ͘
 ɹɹɹɹɹɹ͓ࢠ༷޲͚8FCΞϓϦΛ਍அͯ͠Έͨɻ
  2. /&0,JETͷߏ੒ w ͜Μͳײ͡Ͱ͢ɻ AWS Lambda Amazon
 S3 Amazon
 DynamoDB Amazon

    API Gateway 3&45"1* ɾઃ໰ηοτ ɾ਍அ݁Ռ ɾઃ໰ηοτΛฦ͢ ɾճ౴݁Ռͷ਍அ ɾ੩తWebαΠτ ɹɹɹɹ1$ʹ08"41;"1Λಋೖɹɹɹɹɹɹɹɹ
  3. ʢ̍ʣ08"41;"1ͷಋೖʢίϯςφʣ w ଧͭ΂͠ʂʂ w 1$ίϯςφؒͰϘϦϡʔϜΛϚ΢ϯτ͓͚ͯ͠͹ɺϨϙʔτͷ ϑΝΠϧΛϩʔΧϧ؀ڥͰ΋ѻ͑Δ w ᶃʮ08"41;"1઀ଓ༻ʢ(6*ʣʯͱᶄʮϓϩΩγ༻ʯͰ
 ϙʔτϑΥϫʔσΟϯάΛͭઃఆ͢Δ w

    8FCϒϥ΢β͔Β઀ଓʂʂ
 IUUQMPDBMIPTU BOPOZNUSVFBQQ;"1 $ docker pull owasp/zap2docker-stable $ docker run -u zap -v /tmp/owaspzap:/home/zap -p 10001:8080 -p 10002:8090 -i owasp/zap2docker-stable zap-webswing.sh
  4. ʢ̎ʣ"DUJWF4DBOͰ੬ऑੑνΣοΫ w εΩϟϯதͷը໘ w 63-୳ࡧ w 3FRVFTUͷ63-຤ඌʹʮRVFSZYYYʜʯΛ෇༩ w ౷ܭ w

    ॲཧ࣌ؒʜ w ϦΫΤετ਺ʜ  ฏۉϦΫΤετඵͰͨ͠ɻ ʢϐʔΫͰϦΫΤετඵ͙Β͍ʣ
  5. ʢ̎ʣ"DUJWF4DBOͰ੬ऑੑνΣοΫ w ਍அ݁Ռʢશͯ)551ϔομؔ࿈ʣ λΠϓ ϦεΫ ֓ཁ ରࡦ  X-Frame-Options Header

    Not Set த w ΫϦοΫδϟοΩϯά߈ܸͷϦεΫ w JGSBNFͰΛຒΊࠐΈɺݟ͑ͳ͍ʢಁ໌ͳʣ8FCϖ ʔδͷϘλϯΛΫϦοΫͤ͞Δɺ౳ ɾ)551ϔομʹ ɹʮ9'3".&015*0/ʯΛ
 ɹઃఆ͢΂͠  Web Browser XSS Protection Not Enabled খ w 944ʢΫϩεαΠτεΫϦϓςΟϯάʣͷϦεΫ w ϒϥ΢βଆͷ944ϑΟϧλ༗ޮԽͷઃఆ͕͞Ε͍ͯ ͳ͍ʢσϑΥϧτ͸༗ޮʹͳ͍ͬͯΔʣ ɾ)551ϔομʹ ɹʮ99441SPUFDUJPOʯΛ ɹઃఆ͢΂͠  X-Content-Type- Options Header Missing খ w ϒϥ΢βଆͰҙਤ͠ͳ͍ಈ࡞ΛҾ͖ى͜͢ϦεΫ w ίϯςϯπλΠϓ͕ࢦఆ͞Ε͍ͯͳ͍ͷͰɺϒϥ΢ βଆͰͷޡͬͨ൑அॲཧΛͯ͠͠·͏Մೳੑ͋Γ ɾ)551ϔομʹ ɹʮ9$POUFOU5ZQF0QUJPOTʯΛ
 ɹઃఆ͢΂͠
  6. ͓·͚τϐοΫ w %PDLFSίϯςφ൛ͷ08"41;"1 w ίϯςφىಈ͢Δͨͼʹ/BNF͕มΘΔ༡ͼ৺ w QSBDUJDBM@IFMMNBO w BHJUBUFE@NFSLMF w

    IFVSJTUJD@CFBWFS w CMJTTGVM@GFSNBU w WJHJMBOU@NPOUBMDJOJ w FBHFS@WBSBIBNJIJSB w ʜ ˞గਖ਼ʢਃ͠༁͋Γ·ͤΜͰͨ͠ʣ˞ ͜Ε͸%PDLFSଆͷ࢓༷Ͱͨ͠ɻ Φʔϓϯιʔε൛%PDLFSͷίΞ෦෼Λ ίϯϙʔωϯτԽ͢Δʮ.PCZ1SPKFDUʯͱ͍͏ औΓ૊Έ͕͋Γɺͦͷͳ͔ͷʮOBNFTHFOFSBUPSʯ Ͱίϯςφ໊Λੜ੒͍ͯ͠ΔΑ͏Ͱ͢ɻ ʢʡ@ʡͷࠨӈͷ୯ޠΛϥϯμϜͰ૊Έ߹Θͤʣ IUUQTHJUIVCDPNNPCZNPCZUSFFNBTUFS QLHOBNFTHFOFSBUPS