Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP ZAPのAPIとCLI / 20190830 - Security Testing...

OWASP ZAPのAPIとCLI / 20190830 - Security Testing Workshop

第76回ハンズオンセミナー脆弱性診断ええんやで(^^)
OWASP ZAPのAPIとCLI
2019年8⽉30⽇(⾦)
脆弱性診断研究会
(Security Testing Workshop)

脆弱性診断研究会

August 30, 2019
Tweet

More Decks by 脆弱性診断研究会

Other Decks in Technology

Transcript

  1. ⾃⼰紹介 松本 隆則 @nilfigo(ニルフィーゴ、ニルフィ) • 脆弱性診断研究会 主宰 • EGセキュアソリューションズ株式会社 •

    OWASP Japan プロモーションチーム • ZAP Evangelist (New!) 3 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30
  2. ZAP Evangelist https://github.com/zaproxy/zaproxy/wiki/ZapEvangelists • The following people are happy to

    give free ZAP talks and/or training in their respective locations • Most ZAP evangelists will travel to give talks or training provided expenses are covered. 4 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30
  3. アジェンダ • 脆弱性とは? • 脆弱性診断とは? • OWASPってナニ? • OWASP ZAP

    ってナニ? • ZAP CLI • ZAP API 5 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30
  4. OWASP ってナニ︖ The O pen W eb A pplication S

    ecurity P roject 9 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30
  5. OWASP ZAP ってナニ? • https://www.owasp.org/index.php/OWASP_Zed_Attack_ Proxy_Project • 世界中のエンジニアによって開発されている セキュリティ診断⽤プロキシツール •

    ZAP = Zed Attack Proxy プロキシとして動作して、ブラウザとWebアプリケーショ ン間の通信の閲覧および改変が可能 • オープンソース(Apache License 2.0) • 商⽤・⾮商⽤問わず無償で利⽤可能 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 11
  6. OWASP ZAPの基本設定 nモード • セーフモード • プロテクトモード • 標準モード •

    攻撃モード © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 12
  7. OWASP ZAPの基本設定 nオプション • ローカル・プロキシ • Address、ポート • スパイダー •

    動的スキャン © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 14
  8. コマンドラインオプション 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 17 HelpCmdline

    · zaproxy/zap-core-help Wiki https://github.com/zaproxy/zap-core-help/wiki/HelpCmdline
  9. オススメのオプション • -daemon UIなしで起動 • -dir <dir> 作業ディレクトリ指定 • -newsession

    <path> ZAPセッションの保存先指定 • -host <host> ZAPの待受IPアドレス指定 • -port <port> ZAPの待受ポート指定 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 18
  10. ZAP API 事前準備① 有効 UI Enabled □Secure Only © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 21
  11. ZAP API UI © 2019 脆弱性診断研究会 Security Testing Workshop 127.0.0.1:57777

    (OWASP ZAPのIPアドレス&ポート) 「ローカル API」リンクで⼀覧表⽰ 2019/08/30 25
  12. ZAP API 主なAPI © 2019 脆弱性診断研究会 Security Testing Workshop コンポーネント

    概要 ascan 動的スキャン(Active Scanner)の管理/操作 context コンテキスト操作 core ZAPセッション管理、アラート表⽰など pscan 静的スキャン(Passive Scanner)の管理/操作 spider スパイダー(クローリングツール) 2019/08/30 26
  13. 1. 診断対象登録 1. newContext 2. includeInContext 3. contextList © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 30