Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP ZAPのAPIとCLI / 20190830 - Security Testing...

脆弱性診断研究会
August 30, 2019
Technology
3
1.7k

OWASP ZAPのAPIとCLI / 20190830 - Security Testing Workshop

第76回ハンズオンセミナー脆弱性診断ええんやで(^^)
OWASP ZAPのAPIとCLI
2019年8⽉30⽇(⾦)
脆弱性診断研究会
(Security Testing Workshop)

脆弱性診断研究会

August 30, 2019
Tweet

More Decks by 脆弱性診断研究会

See All by 脆弱性診断研究会
20191128 - Security Testing Workshop
security_testing_workshop
3
1.1k
何故「思ってたのと違う」⾒積額が提⽰されるのか / 20190725 - Security Testing Workshop
security_testing_workshop
2
1.2k
OWASP ZAP Maniacs #6
security_testing_workshop
2
2k

Other Decks in Technology

See All in Technology
OSS構成管理ツールCMDBuild を使ったAWSリソース管理の自動化
satorufunai
0
640
Ruby on Railsで持続可能な開発を行うために取り組んでいること
am1157154
3
140
OCI Success Journey OCIの何が評価されてる?疑問に答える事例セミナー(2025年2月実施)
oracle4engineer
PRO
2
130
30→150人のエンジニア組織拡大に伴うアジャイル文化を醸成する役割と取り組みの変化
nagata03
0
150
エンジニアリング価値を黒字化する バリューベース戦略を用いた 技術戦略策定の道のり
kzkmaeda
6
2.6k
Raycast Favorites × Script Command で実現するお手軽情報チェック
smasato
1
140
Oracle Database Technology Night #87-1 : Exadata Database Service on Exascale Infrastructure(ExaDB-XS)サービス詳細
oracle4engineer
PRO
1
170
ESXi で仮想化した ARM 環境で LLM を動作させてみるぞ
unnowataru
0
170
スキルだけでは満たせない、 “組織全体に”なじむオンボーディング/Onboarding that fits “throughout the organization” and cannot be satisfied by skills alone
bitkey
0
170
設計を積み重ねてシステムを刷新する
sansantech
PRO
0
160
AIエージェント時代のエンジニアになろう #jawsug #jawsdays2025 / 20250301 Agentic AI Engineering
yoshidashingo
8
3.6k
Two Blades, One Journey: Engineering While Managing
ohbarye
4
1.9k

Featured

See All Featured
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
The Invisible Side of Design
smashingmag
299
50k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
Become a Pro
speakerdeck
PRO
26
5.2k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.1k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
12
990
GraphQLの誤解/rethinking-graphql
sonatard
68
10k
Faster Mobile Websites
deanohume
306
31k
Testing 201, or: Great Expectations
jmmastey
42
7.2k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
27
1.9k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.3k

Transcript

  1. 第76回ハンズオンセミナー 脆弱性診断ええんやで(^^) OWASP ZAPの APIとCLI 2019年8⽉30⽇(⾦) 脆弱性診断研究会 (Security Testing Workshop)

  2. 脆弱性診断研究会とは Webアプリケーションの脆弱性を診断 する⼿法や脆弱性診断ツールの使⽤法 などを研究するコミュニティ。コワー キングスペース茅場町Co-Edo様にて第 1回セミナーを2014年8⽉に開催して 以来2019年8⽉現在で76回のセミナー を実施。 © 2019

    脆弱性診断研究会 Security Testing Workshop 2 2019/08/30

  3. ⾃⼰紹介 松本 隆則 @nilfigo(ニルフィーゴ、ニルフィ) • 脆弱性診断研究会 主宰 • EGセキュアソリューションズ株式会社 •

    OWASP Japan プロモーションチーム • ZAP Evangelist (New!) 3 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  4. ZAP Evangelist https://github.com/zaproxy/zaproxy/wiki/ZapEvangelists • The following people are happy to

    give free ZAP talks and/or training in their respective locations • Most ZAP evangelists will travel to give talks or training provided expenses are covered. 4 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  5. アジェンダ • 脆弱性とは? • 脆弱性診断とは? • OWASPってナニ? • OWASP ZAP

    ってナニ? • ZAP CLI • ZAP API 5 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  6. 脆弱性とは 脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにお いて、プログラムの不具合や設計上のミスが原因となって発生し た情報セキュリティ上の欠陥のことを言います。 • 「総務省 安⼼してインターネットを使うために 国⺠のための情報セキュリティサイト」より引⽤ http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html •

    ⽂中の強調はスライド作成者による © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 6

  7. 脆弱性診断とは ちょい足し異常系テスト © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 7

  8. ちょい⾜し異常系テスト ちょい⾜しする隠し味のひとつが OWASP ZAP © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 8

  9. OWASP ってナニ︖ The O pen W eb A pplication S

    ecurity P roject 9 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  10. OWASP ってナニ︖ OWASPとは、Webをはじめとするソフト ウェアのセキュリティ環境の現状、またセ キュアなソフトウェア開発を促進する技術・ プロセスに関する情報共有と普及啓発を⽬的 としたプロフェッショナルの集まる、オープ ンソース・ソフトウェアコミュニティです。 http://blog.owaspjapan.org/ より引⽤

    10 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30

  11. OWASP ZAP ってナニ? • https://www.owasp.org/index.php/OWASP_Zed_Attack_ Proxy_Project • 世界中のエンジニアによって開発されている セキュリティ診断⽤プロキシツール •

    ZAP = Zed Attack Proxy プロキシとして動作して、ブラウザとWebアプリケーショ ン間の通信の閲覧および改変が可能 • オープンソース(Apache License 2.0) • 商⽤・⾮商⽤問わず無償で利⽤可能 © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 11

  12. OWASP ZAPの基本設定 nモード • セーフモード • プロテクトモード • 標準モード •

    攻撃モード © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 12

  13. OWASP ZAPの基本設定 【重要】プロテクトモード以外は使⽤禁⽌!! なぜなら 管理外のサイトへの診断を実⾏する危険性が⾼い © 2019 脆弱性診断研究会 Security Testing

    Workshop 2019/08/30 13

  14. OWASP ZAPの基本設定 nオプション • ローカル・プロキシ • Address、ポート • スパイダー •

    動的スキャン © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 14

  15. OWASP ZAPの基本設定 nアドオン • インストール • アップデート nポリシー • スキャンポリシー

    © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 15

  16. ZAP CLI コマンドラインインターフェース (Command Line Interface)で OWASP ZAPを操作 © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 16

  17. コマンドラインオプション 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 17 HelpCmdline

    · zaproxy/zap-core-help Wiki https://github.com/zaproxy/zap-core-help/wiki/HelpCmdline

  18. オススメのオプション • -daemon UIなしで起動 • -dir <dir> 作業ディレクトリ指定 • -newsession

    <path> ZAPセッションの保存先指定 • -host <host> ZAPの待受IPアドレス指定 • -port <port> ZAPの待受ポート指定 2019/08/30 © 2019 脆弱性診断研究会 Security Testing Workshop 18

  19. ZAP APIとは? OWASP ZAPを操作するAPI © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 19

  20. ZAP API 事前準備 [ツール] →[オプション] →[API] © 2019 脆弱性診断研究会 Security

    Testing Workshop 2019/08/30 20

  21. ZAP API 事前準備① 有効 UI Enabled □Secure Only © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 21

  22. ZAP API 事前準備② すべてのAddressを「有効」に。 © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 22

  23. ZAP API 事前準備③ これら6つの設定はすべて「危険」なので、よく考えてから設定しましょう。 © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 23

  24. ZAP API ⼀覧 OWASP ZAPで[ツール]→[API⼀覧] ↓ OSのデフォルトブラウザでAPIトップページが 表⽰される © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 24

  25. ZAP API UI © 2019 脆弱性診断研究会 Security Testing Workshop 127.0.0.1:57777

    (OWASP ZAPのIPアドレス&ポート) 「ローカル API」リンクで⼀覧表⽰ 2019/08/30 25

  26. ZAP API 主なAPI © 2019 脆弱性診断研究会 Security Testing Workshop コンポーネント

    概要 ascan 動的スキャン(Active Scanner)の管理/操作 context コンテキスト操作 core ZAPセッション管理、アラート表⽰など pscan 静的スキャン(Passive Scanner)の管理/操作 spider スパイダー(クローリングツール) 2019/08/30 26

  27. ZAP API © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 27

  28. ZAP API アクセス⽅法 • ブラウザ経由 • curlコマンド © 2019 脆弱性診断研究会

    Security Testing Workshop 2019/08/30 28

  29. ZAP APIで脆弱性診断 1. 診断対象登録 2. 診断対象情報収集 3. 脆弱性診断実施 4. 診断結果確認

    © 2019 脆弱性診断研究会 Security Testing Workshop 2019/08/30 29

  30. 1. 診断対象登録 1. newContext 2. includeInContext 3. contextList © 2019

    脆弱性診断研究会 Security Testing Workshop 2019/08/30 30

  31. 2. 診断対象情報収集 1. spider © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 31

  32. 3. 脆弱性診断実施 1. ascan © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 32

  33. 4. 診断結果確認 1. report © 2019 脆弱性診断研究会 Security Testing Workshop

    2019/08/30 33