$30 off During Our Annual Pro Sale. View Details »

脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on a code base

task4233
August 08, 2022
Technology
2
1.7k

脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on a code base

GUIベースで利用することの多いOWASP ZAPを各言語から呼び出して活用する方法について話します。

## Links
Burp SuiteのAlerts: https://portswigger.net/kb/issues
OWASP ZAPのAlerts: https://www.zaproxy.org/docs/alerts/
ZAPのActions: https://github.com/zaproxy/action-api-scan
ZAPの本実装: https://github.com/zaproxy/zaproxy
ZAPのクライアントライブラリ: https://github.com/zaproxy?q=zap-api-
ZAPのAPIドキュメント: https://www.zaproxy.org/docs/api
StackHawk: https://www.stackhawk.com/

task4233

August 08, 2022
Tweet

More Decks by task4233

See All by task4233
Goのデバッグ用ロガーの開発を通して得た デバッグとgoパッケージに関する知見/Knowledge by given implementation of logger for debug
task4233
0
120
入門XSS / Introduction of XSS
task4233
3
2.1k
誘導を読み取って1ステップ上の問題を解けるようになろう/Tips for Solving CTF with Reading Leads
task4233
1
800
JavaScriptはなぜシングルスレッドでも非同期処理ができるのか/Why Can JavaSctipt Invoke Asynchronous in Single Thread?
task4233
21
20k
入門gRPC / Introduction of gRPC
task4233
1
660
Goクイズで学ぶメソッドセット
task4233
0
310
入門 質問
task4233
1
440
Backdoorの調査と解析
task4233
0
750
AtCoder AGC 001 B - Mysterious Light 考察と実装
task4233
0
390

Other Decks in Technology

See All in Technology
開発生産性の多角的接点〜1,000名のクリエイター組織 × 開発生産性〜 / Multifaceted touchpoints of development productivity
i35_267
3
530
Java in containers and serverless
takesection
0
140
CSSパフォーマンスに関する計測結果
poteboy
3
1.4k
231116 あつまれ入力デバイスの沼 Ryu.Cyberさん
comucal
PRO
0
230
ライブラリとの上手な付き合い方
sekido
PRO
0
180
Parsing case study in Go / Go Conference mini 2023 Winter IN KYOTO
k1low
2
370
ニフティの過去・現在・未来 - NIFTY Tech Day 2023
niftycorp
0
160
APIライフサイクル全体を見据えたテスト戦略
nagix
0
140
Azure OpenAI Serviceの採用と挑戦 - Azure AI Hub meetup #1
cimadai
1
310
LLMを活用した爆速アウトプットのすゝめ / bakusoku-outputs-with-llm
yuya4
8
4.2k
Notionへのデータ移行を成功させる5つのポイント - NIFTY Tech Day 2023
niftycorp
0
140
TextField 表示スタイル変更の 有効活用例 5 選
akkie76
0
150

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
33
8.6k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
197
11k
Designing on Purpose - Digital PM Summit 2013
jponch
108
6.2k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.4k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
53
33k
Fireside Chat
paigeccino
18
2.3k
Imperfection Machines: The Place of Print at Facebook
scottboms
257
12k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
13
5.9k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
352
21k
Pencils Down: Stop Designing & Start Developing
hursman
115
11k
Done Done
chrislema
178
15k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
656
120k

Transcript

  1. 脆弱性スキャナのOWASP ZAPを
    コードベースで扱ってみる
    セキュリティ・キャンプ LT大会
    2022/08/05
    Dクラス チューター
    @task4233

    View Slide

  2. 本LTで伝えたいこと
    ・脆弱性スキャナは対象のURLに脆弱性がないか
     確認するためのツール
    ・脆弱性スキャナは(クローリング&)スキャンで構成される
    ・OWASP ZAPはカスタマイズ性の高い脆弱性スキャナのOSS
    2

    View Slide

  3. ところであなたは誰ですか?
    ・最近インターン先で脆弱性スキャナを
     書いてる人
    ・2019年のセキュリティ・キャンプで
     脆弱性・マルウェア解析トラックに参加
    ・@task4233
    ・散歩とGoが好き
    ・https://task4233.dev
    3

    View Slide

  4. 脆弱性スキャナとは?
    ・脆弱性スキャナは対象のURLに脆弱性がないか確認する
     ためのツール
    ・PortSwiggerのBurp SuiteとOWASPのZAPが有名
    ・主要な脆弱性は網羅されている(Burp Suite, OWASP ZAP)
    製品 価格 機能面の強み(主観)
    Burp Suite ・Community Editionは無料
    ・Professionalは$399/年
    ・ZAPよりもドキュメントが豊富
    ・通信のInterceptができるので、手動で診断したい時に
     ZAPよりも便利
    ZAP ・無料
     (Apache-2.0 Licenseなので
      商用利用も可能)
    ・実装が全て公開されているので カスタマイズ性が高い
    ・Burp Suiteよりも手軽かつ包括的にスキャンできる
    4

    View Slide

  5. 脆弱性スキャナとは?
    ・脆弱性スキャナは対象のURLに脆弱性がないか確認する
     ためのツール
    ・PortSwiggerのBurp SuiteとOWASPのZAPが有名
    ・主要な脆弱性は網羅されている(Burp Suite, OWASP ZAP)
    製品 価格 機能面の強み(主観)
    Burp Suite ・Community Editionは無料
    ・Professionalは$399/年
    ・ZAPよりもドキュメントが豊富
    ・通信のInterceptができるので、手動で診断したい時に
     ZAPよりも便利
    ZAP ・無料
     (Apache-2.0 Licenseなので
      商用利用も可能)
    ・実装が全て公開されているので カスタマイズ性が高い
    ・Burp Suiteよりも手軽かつ包括的にスキャンできる
    5

    View Slide

  6. 脆弱性スキャナの仕組み概要
    URLのクローリング
    1. 対象ページにHTTPリクエスト
    2. HTTPレスポンスに含まれるURLを更にクローリング
    スキャン
    1. 対象ページに悪意のある挙動を起こす可能性のキーワードや
      ペイロードを含めてリクエスト
     例) https://victim.com/?q=' のようなもの
    2. レスポンスに影響があれば脆弱性があると判断する
    6

    View Slide

  7. OWASP ZAPでスキャンする流れ
    1. OWASP ZAP(GUI)を開く
    2. Automated Scanを選択する
    3. 診断対象のURLを入力する
    4. Attackをクリックする
      (target domainのクローリング&スキャン実行)
    7

    View Slide

  8. OWASP ZAPでスキャンする
    1. OWASP ZAP(GUI)を開く
    2. Automated Scanを選択する
    3. 診断対象のURLを入力する
    4. Attackをクリックする
      (target domainのクローリング&スキャン実行)
    →自動化したい!!!
    8

    View Slide

  9. 手軽に実行できるGitHub Actions
    https://github.com/zaproxy/action-api-scan
    ・OWASP ZAPをGitHub Actionsで実行してくれる君
    ・URLのクローリングにAjax Spiderが使えない
    9

    View Slide

  10. OWASP ZAPの2種類のクローラ
    Native SpiderとAjaxSpiderの2種類がある
    Native Spider
    ・静的なHTMLをHTTPリクエストで取得するだけ
    ・最近増えてきているSPAのページは包括的にクロールできない
    Ajax Spider
    ・AjaxベースのページもクロールできるCrawljaxをベースに
     したクローラ
    →AjaxSpiderを使いたいので、ZAPの仕組みを深掘ってみる
    10

    View Slide

  11. ZAPの仕組み
    ・ZAPデーモンに対してクライアントアプリ(GUI)からHTTP
     リクエストを飛ばしているだけ
     (https://github.com/zaproxy/zaproxy)
    ・自分でZAPデーモンを操作すれば良い!
    11

    View Slide

  12. 提供されているZAPクライアントライブラリ
    ・提供されているクライアントライブラリ
    →Python/Java/Go/.NET/Node.js/PHP(PR参照)
    ・ドキュメントはあって無いようなものなので、実装を読んで
     雰囲気で実装する
    (Doxygenで生成すれば良いと思ってる開発者多すぎませんか🤔)
    12

    View Slide

  13. できました 13

    View Slide

  14. まとめ
    ・脆弱性スキャナは対象のURLに脆弱性がないか
     確認するためのツール
    ・脆弱性スキャナは(クローリング&)スキャンで構成される
    ・OWASP ZAPはカスタマイズ性の高い脆弱性スキャナのOSS
    14

    View Slide

  15. 余談
    ZAPの魔改造
    ・スキャナを自分で書く
    ・既にある実装を高速化してセルフビルドする
    ZAPを魔改造して提供されているサービスもある
    ・StackHawk
    ・Pro: $35/月, Enterprise: $49/月
    →自作SaaSの狙い目かも?
    15

    View Slide