Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on ...

task4233
August 08, 2022
Technology
2
2.6k

脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on a code base

GUIベースで利用することの多いOWASP ZAPを各言語から呼び出して活用する方法について話します。

## Links
Burp SuiteのAlerts: https://portswigger.net/kb/issues
OWASP ZAPのAlerts: https://www.zaproxy.org/docs/alerts/
ZAPのActions: https://github.com/zaproxy/action-api-scan
ZAPの本実装: https://github.com/zaproxy/zaproxy
ZAPのクライアントライブラリ: https://github.com/zaproxy?q=zap-api-
ZAPのAPIドキュメント: https://www.zaproxy.org/docs/api
StackHawk: https://www.stackhawk.com/

task4233

August 08, 2022
Tweet

More Decks by task4233

See All by task4233
GC24 Recap: Interface Internals
task4233
0
530
GopherCon 2024 Recap: Exploring the Go Compiler: Adding a "four" loop / 構文追加で学ぶGoコンパイラの処理
task4233
0
570
Goのデバッグ用ロガーの開発を通して得た デバッグとgoパッケージに関する知見/Knowledge by given implementation of logger for debug
task4233
0
420
入門XSS / Introduction of XSS
task4233
3
2.5k
誘導を読み取って1ステップ上の問題を解けるようになろう/Tips for Solving CTF with Reading Leads
task4233
1
880
JavaScriptはなぜシングルスレッドでも非同期処理ができるのか/Why Can JavaSctipt Invoke Asynchronous in Single Thread?
task4233
24
21k
入門gRPC / Introduction of gRPC
task4233
1
830
Goクイズで学ぶメソッドセット
task4233
0
470
入門 質問
task4233
1
480

Other Decks in Technology

See All in Technology
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
200
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
隣接領域をBeyondするFinatextのエンジニア組織設計 / beyond-engineering-areas
stajima
1
270
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
12k
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
Application Development WG Intro at AppDeveloperCon
salaboy
0
180
Why does continuous profiling matter to developers? #appdevelopercon
salaboy
0
180
SREによる隣接領域への越境とその先の信頼性
shonansurvivors
2
510
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
300
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k

Featured

See All Featured
Done Done
chrislema
181
16k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Why Our Code Smells
bkeepers
PRO
334
57k
Embracing the Ebb and Flow
colly
84
4.5k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
Documentation Writing (for coders)
carmenintech
65
4.4k
Writing Fast Ruby
sferik
627
61k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
The Cost Of JavaScript in 2023
addyosmani
45
6.7k
Automating Front-end Workflow
addyosmani
1366
200k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k

Transcript

  1. 脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる セキュリティ・キャンプ LT大会 2022/08/05 Dクラス チューター @task4233

  2. 本LTで伝えたいこと ・脆弱性スキャナは対象のURLに脆弱性がないか  確認するためのツール ・脆弱性スキャナは(クローリング&)スキャンで構成される ・OWASP ZAPはカスタマイズ性の高い脆弱性スキャナのOSS 2

  3. ところであなたは誰ですか? ・最近インターン先で脆弱性スキャナを  書いてる人 ・2019年のセキュリティ・キャンプで  脆弱性・マルウェア解析トラックに参加 ・@task4233 ・散歩とGoが好き ・https://task4233.dev 3

  4. 脆弱性スキャナとは? ・脆弱性スキャナは対象のURLに脆弱性がないか確認する  ためのツール ・PortSwiggerのBurp SuiteとOWASPのZAPが有名 ・主要な脆弱性は網羅されている(Burp Suite, OWASP ZAP) 製品

    価格 機能面の強み(主観) Burp Suite ・Community Editionは無料 ・Professionalは$399/年 ・ZAPよりもドキュメントが豊富 ・通信のInterceptができるので、手動で診断したい時に  ZAPよりも便利 ZAP ・無料  (Apache-2.0 Licenseなので   商用利用も可能) ・実装が全て公開されているので カスタマイズ性が高い ・Burp Suiteよりも手軽かつ包括的にスキャンできる 4

  5. 脆弱性スキャナとは? ・脆弱性スキャナは対象のURLに脆弱性がないか確認する  ためのツール ・PortSwiggerのBurp SuiteとOWASPのZAPが有名 ・主要な脆弱性は網羅されている(Burp Suite, OWASP ZAP) 製品

    価格 機能面の強み(主観) Burp Suite ・Community Editionは無料 ・Professionalは$399/年 ・ZAPよりもドキュメントが豊富 ・通信のInterceptができるので、手動で診断したい時に  ZAPよりも便利 ZAP ・無料  (Apache-2.0 Licenseなので   商用利用も可能) ・実装が全て公開されているので カスタマイズ性が高い ・Burp Suiteよりも手軽かつ包括的にスキャンできる 5

  6. 脆弱性スキャナの仕組み概要 URLのクローリング 1. 対象ページにHTTPリクエスト 2. HTTPレスポンスに含まれるURLを更にクローリング スキャン 1. 対象ページに悪意のある挙動を起こす可能性のキーワードや  

    ペイロードを含めてリクエスト  例) https://victim.com/?q=' のようなもの 2. レスポンスに影響があれば脆弱性があると判断する 6

  7. OWASP ZAPでスキャンする流れ 1. OWASP ZAP(GUI)を開く 2. Automated Scanを選択する 3. 診断対象のURLを入力する

    4. Attackをクリックする   (target domainのクローリング&スキャン実行) 7

  8. OWASP ZAPでスキャンする 1. OWASP ZAP(GUI)を開く 2. Automated Scanを選択する 3. 診断対象のURLを入力する

    4. Attackをクリックする   (target domainのクローリング&スキャン実行) →自動化したい!!! 8

  9. 手軽に実行できるGitHub Actions https://github.com/zaproxy/action-api-scan ・OWASP ZAPをGitHub Actionsで実行してくれる君 ・URLのクローリングにAjax Spiderが使えない 9

  10. OWASP ZAPの2種類のクローラ Native SpiderとAjaxSpiderの2種類がある Native Spider ・静的なHTMLをHTTPリクエストで取得するだけ ・最近増えてきているSPAのページは包括的にクロールできない Ajax Spider

    ・AjaxベースのページもクロールできるCrawljaxをベースに  したクローラ →AjaxSpiderを使いたいので、ZAPの仕組みを深掘ってみる 10

  11. ZAPの仕組み ・ZAPデーモンに対してクライアントアプリ(GUI)からHTTP  リクエストを飛ばしているだけ  (https://github.com/zaproxy/zaproxy) ・自分でZAPデーモンを操作すれば良い! 11

  12. 提供されているZAPクライアントライブラリ ・提供されているクライアントライブラリ →Python/Java/Go/.NET/Node.js/PHP(PR参照) ・ドキュメントはあって無いようなものなので、実装を読んで  雰囲気で実装する (Doxygenで生成すれば良いと思ってる開発者多すぎませんか🤔) 12

  13. できました 13

  14. まとめ ・脆弱性スキャナは対象のURLに脆弱性がないか  確認するためのツール ・脆弱性スキャナは(クローリング&)スキャンで構成される ・OWASP ZAPはカスタマイズ性の高い脆弱性スキャナのOSS 14

  15. 余談 ZAPの魔改造 ・スキャナを自分で書く ・既にある実装を高速化してセルフビルドする ZAPを魔改造して提供されているサービスもある ・StackHawk ・Pro: $35/月, Enterprise: $49/月

    →自作SaaSの狙い目かも? 15