Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP ZAPのAPIとCLI / 20190830 - Security Testing...

Avatar for 脆弱性診断研究会 脆弱性診断研究会
August 30, 2019
Technology
3
1.8k

OWASP ZAPのAPIとCLI / 20190830 - Security Testing Workshop

第76回ハンズオンセミナー脆弱性診断ええんやで(^^)
OWASP ZAPのAPIとCLI
2019年8⽉30⽇(⾦)
脆弱性診断研究会
(Security Testing Workshop)

Avatar for 脆弱性診断研究会

脆弱性診断研究会

August 30, 2019
Tweet

More Decks by 脆弱性診断研究会

See All by 脆弱性診断研究会
20191128 - Security Testing Workshop
Avatar for 脆弱性診断研究会 security_testing_workshop
3
1.1k
何故「思ってたのと違う」⾒積額が提⽰されるのか / 20190725 - Security Testing Workshop
Avatar for 脆弱性診断研究会 security_testing_workshop
2
1.2k
OWASP ZAP Maniacs #6
Avatar for 脆弱性診断研究会 security_testing_workshop
2
2.1k

Other Decks in Technology

See All in Technology
[Journal club] Thinking in Space: How Multimodal Large Language Models See, Remember, and Recall Spaces
Avatar for Semantic Machine Intelligence Lab., Keio Univ. keio_smilab
PRO
0
110
組織全員で向き合うAI Readyなデータ利活用
Avatar for harry gappy50
5
2k
ヘンリー会社紹介資料(エンジニア向け) / company deck for engineer
Avatar for Henry, Inc. henryofficial
0
440
AIを使ってテストを楽にする
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
380
SRE × マネジメントレイヤーが挑戦した組織・会社のオブザーバビリティ改革 ― ビジネス価値と信頼性を両立するリアルな挑戦
Avatar for coconala_engineer coconala_engineer
0
390
Amazon Q Developer CLIをClaude Codeから使うためのベストプラクティスを考えてみた
Avatar for banquet.kuma dar_kuma_san
0
290
AIがコードを書いてくれるなら、新米エンジニアは何をする? / komekaigi2025
Avatar for Yukiya Nakagawa nkzn
23
16k
DMMの検索システムをSolrからElasticCloudに移行した話
Avatar for 小山凌太 hmaa_ryo
0
320
AIエージェントによる業務効率化への飽くなき挑戦 -AWS上の実開発事例から学んだ効果、現実そしてギャップ-
Avatar for Kiminori Yokoi nasuvitz
5
1.5k
DSPy入門
Avatar for TomuHirata tomehirata
6
810
書籍『実践 Apache Iceberg』の歩き方
Avatar for Satoru Ishikawa ishikawa_satoru
0
390
ラスベガスの歩き方 2025年版(re:Invent 事前勉強会)
Avatar for JunjiKoide junjikoide
0
700

Featured

See All Featured
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
13
940
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.7k
Visualization
Avatar for Eitan Lees eitanlees
150
16k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.5k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.7k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
253
22k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
23
1.5k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
31
2.7k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
51k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
658
61k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k

Transcript

  1. 第76回ハンズオンセミナー 脆弱性診断ええんやで(^^) OWASP ZAPの APIとCLI 2019年8⽉30⽇(⾦) 脆弱性診断研究会 (Security Testing Workshop)

  2. 脆弱性診断研究会とは Webアプリケーションの脆弱性を診断 する⼿法や脆弱性診断ツールの使⽤法 などを研究するコミュニティ。コワー キングスペース茅場町Co-Edo様にて第 1回セミナーを2014年8⽉に開催して 以来2019年8⽉現在で76回のセミナー を実施。 © 2019

    脆弱性診断研究会 Security Testing Workshop 2 2019/08/30

  3. ⾃⼰紹介 松本 隆則 @nilfigo(ニルフィーゴ、ニルフィ) • 脆弱性診断研究会 主宰 • EGセキュアソリューションズ株式会社 •

    OWASP Japan プロモーションチーム • ZAP Evangelist (New!) 3 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  4. ZAP Evangelist https://github.com/zaproxy/zaproxy/wiki/ZapEvangelists • The following people are happy to

    give free ZAP talks and/or training in their respective locations • Most ZAP evangelists will travel to give talks or training provided expenses are covered. 4 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  5. アジェンダ • 脆弱性とは? • 脆弱性診断とは? • OWASPってナニ? • OWASP ZAP

    ってナニ? • ZAP CLI • ZAP API 5 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  6. 脆弱性とは 脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにお いて、プログラムの不具合や設計上のミスが原因となって発生し た情報セキュリティ上の欠陥のことを言います。 • 「総務省 安⼼してインターネットを使うために 国⺠のための情報セキュリティサイト」より引⽤ http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html •

    ⽂中の強調はスライド作成者による © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 6

  7. 脆弱性診断とは ちょい足し異常系テスト © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 7

  8. ちょい⾜し異常系テスト ちょい⾜しする隠し味のひとつが OWASP ZAP © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 8

  9. OWASP ってナニ︖ The O pen W eb A pplication S

    ecurity P roject 9 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  10. OWASP ってナニ︖ OWASPとは、Webをはじめとするソフト ウェアのセキュリティ環境の現状、またセ キュアなソフトウェア開発を促進する技術・ プロセスに関する情報共有と普及啓発を⽬的 としたプロフェッショナルの集まる、オープ ンソース・ソフトウェアコミュニティです。 http://blog.owaspjapan.org/ より引⽤

    10 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  11. OWASP ZAP ってナニ? • https://www.owasp.org/index.php/OWASP_Zed_Attack_ Proxy_Project • 世界中のエンジニアによって開発されている セキュリティ診断⽤プロキシツール •

    ZAP = Zed Attack Proxy プロキシとして動作して、ブラウザとWebアプリケーショ ン間の通信の閲覧および改変が可能 • オープンソース(Apache License 2.0) • 商⽤・⾮商⽤問わず無償で利⽤可能 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 11

  12. OWASP ZAPの基本設定 nモード • セーフモード • プロテクトモード • 標準モード •

    攻撃モード © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 12

  13. OWASP ZAPの基本設定 【重要】プロテクトモード以外は使⽤禁⽌!! なぜなら 管理外のサイトへの診断を実⾏する危険性が⾼い © 2019 脆弱性診断研究会 Security Testing

    Workshop 2019/08/30 13

  14. OWASP ZAPの基本設定 nオプション • ローカル・プロキシ • Address、ポート • スパイダー •

    動的スキャン © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 14

  15. OWASP ZAPの基本設定 nアドオン • インストール • アップデート nポリシー • スキャンポリシー

    © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 15

  16. ZAP CLI コマンドラインインターフェース (Command Line Interface)で OWASP ZAPを操作 © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 16

  17. コマンドラインオプション 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 17 HelpCmdline

    · zaproxy/zap-core-help Wiki https://github.com/zaproxy/zap-core-help/wiki/HelpCmdline

  18. オススメのオプション • -daemon UIなしで起動 • -dir <dir> 作業ディレクトリ指定 • -newsession

    <path> ZAPセッションの保存先指定 • -host <host> ZAPの待受IPアドレス指定 • -port <port> ZAPの待受ポート指定 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 18

  19. ZAP APIとは? OWASP ZAPを操作するAPI © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 19

  20. ZAP API 事前準備 [ツール] →[オプション] →[API] © 2019 脆弱性診断研究会 Security

    Testing Workshop 2019/08/30 20

  21. ZAP API 事前準備① 有効 UI Enabled □Secure Only © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 21

  22. ZAP API 事前準備② すべてのAddressを「有効」に。 © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 22

  23. ZAP API 事前準備③ これら6つの設定はすべて「危険」なので、よく考えてから設定しましょう。 © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 23

  24. ZAP API ⼀覧 OWASP ZAPで[ツール]→[API⼀覧] ↓ OSのデフォルトブラウザでAPIトップページが 表⽰される © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 24

  25. ZAP API UI © 2019 脆弱性診断研究会 Security Testing Workshop 127.0.0.1:57777

    (OWASP ZAPのIPアドレス&ポート) 「ローカル API」リンクで⼀覧表⽰ 2019/08/30 25

  26. ZAP API 主なAPI © 2019 脆弱性診断研究会 Security Testing Workshop コンポーネント

    概要 ascan 動的スキャン(Active Scanner)の管理/操作 context コンテキスト操作 core ZAPセッション管理、アラート表⽰など pscan 静的スキャン(Passive Scanner)の管理/操作 spider スパイダー(クローリングツール) 2019/08/30 26

  27. ZAP API © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 27

  28. ZAP API アクセス⽅法 • ブラウザ経由 • curlコマンド © 2019 脆弱性診断研究会

    Security Testing Workshop 2019/08/30 28

  29. ZAP APIで脆弱性診断 1. 診断対象登録 2. 診断対象情報収集 3. 脆弱性診断実施 4. 診断結果確認

    © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 29

  30. 1. 診断対象登録 1. newContext 2. includeInContext 3. contextList © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 30

  31. 2. 診断対象情報収集 1. spider © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 31

  32. 3. 脆弱性診断実施 1. ascan © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 32

  33. 4. 診断結果確認 1. report © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 33