Slide 1

Slide 1 text

OWASP Night 13th OWASP ZAP 2014 ReleaseNotes 2014/09/08 亀田 勇歩 @YuhoKameda

Slide 2

Slide 2 text

Profile 亀田 勇歩 (Yuho Kameda) – Twitter : @YuhoKameda 活動 – ZAP Evangelist – ZAPハンズオントレーニング in AppSec APAC – 『OWASP Zed Attack Proxy 運用マニュアル』執筆協力

Slide 3

Slide 3 text

About OWASP ZAP • Paros version:3.2.13をフォークしたもの • 簡単に使える、Webアプリケーションの脆弱性を発 見するための統合ペネトレーションツール • https://code.google.com/p/zaproxy/ • https://www.owasp.org/index.php/OWASP_Zed_Attack_Prox y_Project

Slide 4

Slide 4 text

d IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開 https://www.ipa.go.jp/about/technicalwatch/20131212.html

Slide 5

Slide 5 text

2014 ZAP Release • 半年に1度のペースで大規模リリース • 活動中の開発者:31人 • 翻訳協力者:90人以上 (20か国以上)

Slide 6

Slide 6 text

Ver2.3.0 Release Lite • ZAP ライトバージョン提供 • スキャンポリシーの細かい定義 • 認証機能のサポート強化 • クライアントサイドのイベント対応 • Non Standard Appsの対応 • Input Vectorへユーザ定義スクリプト読み込み • アクティブスキャンの高度な設定 • 多数のAPI対応 など

Slide 7

Slide 7 text

Ver2.3.0 Release Pro • ZAP ライトバージョン提供 • スキャンポリシーの細かい定義 • 認証機能のサポート強化 • クライアントサイドのイベント対応 • Non Standard Appsの対応 • Input Vectorへユーザ定義スクリプト読み込み • アクティブスキャンの高度な設定 • 多数のAPI対応 など

Slide 8

Slide 8 text

Ver2.3.0 Release • ZAP ライトバージョン提供 • スキャンポリシーの細かい定義 • 認証機能のサポート強化 • クライアントサイドのイベント対応 • Non Standard Appsの対応 • Input Vectorへユーザ定義スクリプト読み込み • アクティブスキャンの高度な設定 • 多数のAPI対応 など

Slide 9

Slide 9 text

認証方式 複数サポート • Form-based Authentication • HTTP/NTLM Authentication • Manual Authentiation • Script-based Authentication

Slide 10

Slide 10 text

認証方式 複数サポート

Slide 11

Slide 11 text

Advanced ActiveScan

Slide 12

Slide 12 text

Google Group • OWASP ZAP Developer Group – メンバー数:368人 – 開始日:2010/08/17 – 主な内容 • ZAP開発に関すること • Extensionの開発 • バグ修正 • OWASP ZAP User Group – メンバー数:311人 – 開始日:2012/05/22 – 主な内容 • 使い方の質問 • 実装してほしいリクエスト

Slide 13

Slide 13 text

Google Group • OWASP ZAP Scripts – メンバー数:21人 – 開始日:2014/03/26 – 主な内容 • ZAPスクリプトを共有するためのグループ

Slide 14

Slide 14 text

Translations for the OWASP ZAP (https://crowdin.net/project/owasp-zap) • ZAP翻訳プロジェクト • 日本語翻訳度は26% (2014/9/8現在) • だれでも参加可能

Slide 15

Slide 15 text

Any Question? • Social Account – Twitter : @YuhoKameda • E-mail – [email protected] • OWASP – https://www.owasp.org/index.php/User:Yuho_Kameda