Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on ...

task4233
August 08, 2022
Technology
2
2.9k

脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on a code base

GUIベースで利用することの多いOWASP ZAPを各言語から呼び出して活用する方法について話します。

## Links
Burp SuiteのAlerts: https://portswigger.net/kb/issues
OWASP ZAPのAlerts: https://www.zaproxy.org/docs/alerts/
ZAPのActions: https://github.com/zaproxy/action-api-scan
ZAPの本実装: https://github.com/zaproxy/zaproxy
ZAPのクライアントライブラリ: https://github.com/zaproxy?q=zap-api-
ZAPのAPIドキュメント: https://www.zaproxy.org/docs/api
StackHawk: https://www.stackhawk.com/

task4233

August 08, 2022
Tweet

More Decks by task4233

See All by task4233
embedパッケージを深掘りする / Deep Dive into embed Package in Go
task4233
2
320
GC24 Recap: Interface Internals
task4233
1
640
GopherCon 2024 Recap: Exploring the Go Compiler: Adding a "four" loop / 構文追加で学ぶGoコンパイラの処理
task4233
0
660
Goのデバッグ用ロガーの開発を通して得た デバッグとgoパッケージに関する知見/Knowledge by given implementation of logger for debug
task4233
0
500
入門XSS / Introduction of XSS
task4233
3
2.7k
誘導を読み取って1ステップ上の問題を解けるようになろう/Tips for Solving CTF with Reading Leads
task4233
1
910
JavaScriptはなぜシングルスレッドでも非同期処理ができるのか/Why Can JavaSctipt Invoke Asynchronous in Single Thread?
task4233
24
22k
入門gRPC / Introduction of gRPC
task4233
1
880
Goクイズで学ぶメソッドセット
task4233
0
530

Other Decks in Technology

See All in Technology
持続可能なドキュメント運用のリアル: 1年間の成果とこれから
akitok_
1
200
Writing Ruby Scripts with TypeProf
mame
0
260
Porting PicoRuby to Another Microcontroller: ESP32
yuuu
4
440
ビジネスとデザインとエンジニアリングを繋ぐために 一人のエンジニアは何ができるか / What can a single engineer do to connect business, design, and engineering?
kaminashi
0
130
AI AgentOps LT大会(2025/04/16) Algomatic伊藤発表資料
kosukeito
0
140
watsonx.data上のベクトル・データベース Milvusを見てみよう/20250418-milvus-dojo
mayumihirano
0
120
PicoRabbit: a Tiny Presentation Device Powered by Ruby
harukasan
PRO
2
240
Mastraに入門してみた ~AWS CDKを添えて~
tsukuboshi
0
280
白金鉱業Meetup_Vol.18_生成AIはデータサイエンティストを代替するのか?
brainpadpr
3
120
MCPを活用した検索システムの作り方/How to implement search systems with MCP #catalks
quiver
12
6.8k
LiteXとオレオレCPUで作る自作SoC奮闘記
msyksphinz
0
720
React ABC Questions
hirotomoyamada
0
500

Featured

See All Featured
Become a Pro
speakerdeck
PRO
27
5.3k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
19
1.1k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Speed Design
sergeychernyshev
29
900
Faster Mobile Websites
deanohume
306
31k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
4 Signs Your Business is Dying
shpigford
183
22k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
227
22k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
9
760
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Build The Right Thing And Hit Your Dates
maggiecrowley
35
2.6k
Six Lessons from altMBA
skipperchong
27
3.7k

Transcript

  1. 脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる セキュリティ・キャンプ LT大会 2022/08/05 Dクラス チューター @task4233

  2. 本LTで伝えたいこと ・脆弱性スキャナは対象のURLに脆弱性がないか  確認するためのツール ・脆弱性スキャナは(クローリング&)スキャンで構成される ・OWASP ZAPはカスタマイズ性の高い脆弱性スキャナのOSS 2

  3. ところであなたは誰ですか? ・最近インターン先で脆弱性スキャナを  書いてる人 ・2019年のセキュリティ・キャンプで  脆弱性・マルウェア解析トラックに参加 ・@task4233 ・散歩とGoが好き ・https://task4233.dev 3

  4. 脆弱性スキャナとは? ・脆弱性スキャナは対象のURLに脆弱性がないか確認する  ためのツール ・PortSwiggerのBurp SuiteとOWASPのZAPが有名 ・主要な脆弱性は網羅されている(Burp Suite, OWASP ZAP) 製品

    価格 機能面の強み(主観) Burp Suite ・Community Editionは無料 ・Professionalは$399/年 ・ZAPよりもドキュメントが豊富 ・通信のInterceptができるので、手動で診断したい時に  ZAPよりも便利 ZAP ・無料  (Apache-2.0 Licenseなので   商用利用も可能) ・実装が全て公開されているので カスタマイズ性が高い ・Burp Suiteよりも手軽かつ包括的にスキャンできる 4

  5. 脆弱性スキャナとは? ・脆弱性スキャナは対象のURLに脆弱性がないか確認する  ためのツール ・PortSwiggerのBurp SuiteとOWASPのZAPが有名 ・主要な脆弱性は網羅されている(Burp Suite, OWASP ZAP) 製品

    価格 機能面の強み(主観) Burp Suite ・Community Editionは無料 ・Professionalは$399/年 ・ZAPよりもドキュメントが豊富 ・通信のInterceptができるので、手動で診断したい時に  ZAPよりも便利 ZAP ・無料  (Apache-2.0 Licenseなので   商用利用も可能) ・実装が全て公開されているので カスタマイズ性が高い ・Burp Suiteよりも手軽かつ包括的にスキャンできる 5

  6. 脆弱性スキャナの仕組み概要 URLのクローリング 1. 対象ページにHTTPリクエスト 2. HTTPレスポンスに含まれるURLを更にクローリング スキャン 1. 対象ページに悪意のある挙動を起こす可能性のキーワードや  

    ペイロードを含めてリクエスト  例) https://victim.com/?q=' のようなもの 2. レスポンスに影響があれば脆弱性があると判断する 6

  7. OWASP ZAPでスキャンする流れ 1. OWASP ZAP(GUI)を開く 2. Automated Scanを選択する 3. 診断対象のURLを入力する

    4. Attackをクリックする   (target domainのクローリング&スキャン実行) 7

  8. OWASP ZAPでスキャンする 1. OWASP ZAP(GUI)を開く 2. Automated Scanを選択する 3. 診断対象のURLを入力する

    4. Attackをクリックする   (target domainのクローリング&スキャン実行) →自動化したい!!! 8

  9. 手軽に実行できるGitHub Actions https://github.com/zaproxy/action-api-scan ・OWASP ZAPをGitHub Actionsで実行してくれる君 ・URLのクローリングにAjax Spiderが使えない 9

  10. OWASP ZAPの2種類のクローラ Native SpiderとAjaxSpiderの2種類がある Native Spider ・静的なHTMLをHTTPリクエストで取得するだけ ・最近増えてきているSPAのページは包括的にクロールできない Ajax Spider

    ・AjaxベースのページもクロールできるCrawljaxをベースに  したクローラ →AjaxSpiderを使いたいので、ZAPの仕組みを深掘ってみる 10

  11. ZAPの仕組み ・ZAPデーモンに対してクライアントアプリ(GUI)からHTTP  リクエストを飛ばしているだけ  (https://github.com/zaproxy/zaproxy) ・自分でZAPデーモンを操作すれば良い! 11

  12. 提供されているZAPクライアントライブラリ ・提供されているクライアントライブラリ →Python/Java/Go/.NET/Node.js/PHP(PR参照) ・ドキュメントはあって無いようなものなので、実装を読んで  雰囲気で実装する (Doxygenで生成すれば良いと思ってる開発者多すぎませんか🤔) 12

  13. できました 13

  14. まとめ ・脆弱性スキャナは対象のURLに脆弱性がないか  確認するためのツール ・脆弱性スキャナは(クローリング&)スキャンで構成される ・OWASP ZAPはカスタマイズ性の高い脆弱性スキャナのOSS 14

  15. 余談 ZAPの魔改造 ・スキャナを自分で書く ・既にある実装を高速化してセルフビルドする ZAPを魔改造して提供されているサービスもある ・StackHawk ・Pro: $35/月, Enterprise: $49/月

    →自作SaaSの狙い目かも? 15