Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on a code base

task4233
August 08, 2022
Technology
2
2k

脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on a code base

GUIベースで利用することの多いOWASP ZAPを各言語から呼び出して活用する方法について話します。

## Links
Burp SuiteのAlerts: https://portswigger.net/kb/issues
OWASP ZAPのAlerts: https://www.zaproxy.org/docs/alerts/
ZAPのActions: https://github.com/zaproxy/action-api-scan
ZAPの本実装: https://github.com/zaproxy/zaproxy
ZAPのクライアントライブラリ: https://github.com/zaproxy?q=zap-api-
ZAPのAPIドキュメント: https://www.zaproxy.org/docs/api
StackHawk: https://www.stackhawk.com/

task4233

August 08, 2022
Tweet

More Decks by task4233

See All by task4233
Goのデバッグ用ロガーの開発を通して得た デバッグとgoパッケージに関する知見/Knowledge by given implementation of logger for debug
task4233
0
250
入門XSS / Introduction of XSS
task4233
3
2.3k
誘導を読み取って1ステップ上の問題を解けるようになろう/Tips for Solving CTF with Reading Leads
task4233
1
830
JavaScriptはなぜシングルスレッドでも非同期処理ができるのか/Why Can JavaSctipt Invoke Asynchronous in Single Thread?
task4233
23
20k
入門gRPC / Introduction of gRPC
task4233
1
730
Goクイズで学ぶメソッドセット
task4233
0
380
入門 質問
task4233
1
460
Backdoorの調査と解析
task4233
0
780
AtCoder AGC 001 B - Mysterious Light 考察と実装
task4233
0
410

Other Decks in Technology

See All in Technology
Além do else! Categorizando Pokemóns com Pattern Matching no JavaScript
wmsbill
0
700
Handling focus in 2024
tahia910
0
210
開発パフォーマンスを最大化するための開発体制
ham0215
7
1.1k
いつか使うかも貯金してたらめちゃめちゃ機能が増えてた話
riyaamemiya
0
600
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
1k
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
270
LangSmith入門―トレース/評価/プロンプト管理などを担うLLMアプリ開発プラットフォーム
os1ma
5
690
地理空間データ可視化・解析・活用ソリューション Pacific Spatial Solutions (PSS)
pacificspatialsolutions
0
330
How to do well in consulting–Balkan Ruby 2024
irinanazarova
0
120
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
2
280
On Your Data を超えていく!
hirotomotaguchi
2
750
Android Target SDK 35 (Android 15) 対応の概要
akkie76
0
150

Featured

See All Featured
Thoughts on Productivity
jonyablonski
59
3.9k
The Cult of Friendly URLs
andyhume
74
5.7k
The Mythical Team-Month
searls
216
42k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
19
1.6k
Code Reviewing Like a Champion
maltzj
515
39k
Infographics Made Easy
chrislema
238
18k
Scaling GitHub
holman
457
140k
Embracing the Ebb and Flow
colly
80
4.2k
Designing Experiences People Love
moore
136
23k
Building Better People: How to give real-time feedback that sticks.
wjessup
356
18k
Building a Scalable Design System with Sketch
lauravandoore
457
32k
Designing for Performance
lara
602
67k

Transcript

  1. 脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる セキュリティ・キャンプ LT大会 2022/08/05 Dクラス チューター @task4233

  2. 本LTで伝えたいこと ・脆弱性スキャナは対象のURLに脆弱性がないか  確認するためのツール ・脆弱性スキャナは(クローリング&)スキャンで構成される ・OWASP ZAPはカスタマイズ性の高い脆弱性スキャナのOSS 2

  3. ところであなたは誰ですか? ・最近インターン先で脆弱性スキャナを  書いてる人 ・2019年のセキュリティ・キャンプで  脆弱性・マルウェア解析トラックに参加 ・@task4233 ・散歩とGoが好き ・https://task4233.dev 3

  4. 脆弱性スキャナとは? ・脆弱性スキャナは対象のURLに脆弱性がないか確認する  ためのツール ・PortSwiggerのBurp SuiteとOWASPのZAPが有名 ・主要な脆弱性は網羅されている(Burp Suite, OWASP ZAP) 製品

    価格 機能面の強み(主観) Burp Suite ・Community Editionは無料 ・Professionalは$399/年 ・ZAPよりもドキュメントが豊富 ・通信のInterceptができるので、手動で診断したい時に  ZAPよりも便利 ZAP ・無料  (Apache-2.0 Licenseなので   商用利用も可能) ・実装が全て公開されているので カスタマイズ性が高い ・Burp Suiteよりも手軽かつ包括的にスキャンできる 4

  5. 脆弱性スキャナとは? ・脆弱性スキャナは対象のURLに脆弱性がないか確認する  ためのツール ・PortSwiggerのBurp SuiteとOWASPのZAPが有名 ・主要な脆弱性は網羅されている(Burp Suite, OWASP ZAP) 製品

    価格 機能面の強み(主観) Burp Suite ・Community Editionは無料 ・Professionalは$399/年 ・ZAPよりもドキュメントが豊富 ・通信のInterceptができるので、手動で診断したい時に  ZAPよりも便利 ZAP ・無料  (Apache-2.0 Licenseなので   商用利用も可能) ・実装が全て公開されているので カスタマイズ性が高い ・Burp Suiteよりも手軽かつ包括的にスキャンできる 5

  6. 脆弱性スキャナの仕組み概要 URLのクローリング 1. 対象ページにHTTPリクエスト 2. HTTPレスポンスに含まれるURLを更にクローリング スキャン 1. 対象ページに悪意のある挙動を起こす可能性のキーワードや  

    ペイロードを含めてリクエスト  例) https://victim.com/?q=' のようなもの 2. レスポンスに影響があれば脆弱性があると判断する 6

  7. OWASP ZAPでスキャンする流れ 1. OWASP ZAP(GUI)を開く 2. Automated Scanを選択する 3. 診断対象のURLを入力する

    4. Attackをクリックする   (target domainのクローリング&スキャン実行) 7

  8. OWASP ZAPでスキャンする 1. OWASP ZAP(GUI)を開く 2. Automated Scanを選択する 3. 診断対象のURLを入力する

    4. Attackをクリックする   (target domainのクローリング&スキャン実行) →自動化したい!!! 8

  9. 手軽に実行できるGitHub Actions https://github.com/zaproxy/action-api-scan ・OWASP ZAPをGitHub Actionsで実行してくれる君 ・URLのクローリングにAjax Spiderが使えない 9

  10. OWASP ZAPの2種類のクローラ Native SpiderとAjaxSpiderの2種類がある Native Spider ・静的なHTMLをHTTPリクエストで取得するだけ ・最近増えてきているSPAのページは包括的にクロールできない Ajax Spider

    ・AjaxベースのページもクロールできるCrawljaxをベースに  したクローラ →AjaxSpiderを使いたいので、ZAPの仕組みを深掘ってみる 10

  11. ZAPの仕組み ・ZAPデーモンに対してクライアントアプリ(GUI)からHTTP  リクエストを飛ばしているだけ  (https://github.com/zaproxy/zaproxy) ・自分でZAPデーモンを操作すれば良い! 11

  12. 提供されているZAPクライアントライブラリ ・提供されているクライアントライブラリ →Python/Java/Go/.NET/Node.js/PHP(PR参照) ・ドキュメントはあって無いようなものなので、実装を読んで  雰囲気で実装する (Doxygenで生成すれば良いと思ってる開発者多すぎませんか🤔) 12

  13. できました 13

  14. まとめ ・脆弱性スキャナは対象のURLに脆弱性がないか  確認するためのツール ・脆弱性スキャナは(クローリング&)スキャンで構成される ・OWASP ZAPはカスタマイズ性の高い脆弱性スキャナのOSS 14

  15. 余談 ZAPの魔改造 ・スキャナを自分で書く ・既にある実装を高速化してセルフビルドする ZAPを魔改造して提供されているサービスもある ・StackHawk ・Pro: $35/月, Enterprise: $49/月

    →自作SaaSの狙い目かも? 15