Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP ZAPのススメ
Search
Yuho Kameda
March 28, 2014
Technology
3
3.7k
OWASP ZAPのススメ
2014/03/28 #ssmjp にてプレゼンテーションをした際の日本語資料です。
Yuho Kameda
March 28, 2014
Tweet
Share
More Decks by Yuho Kameda
See All by Yuho Kameda
How to use OWASP ZAP & Vulnerabilities Slikmap
ykame
0
8.9k
Enjoy Daily Life by handy tool
ykame
0
97
Find Trust-Information -Public- 20170630 #ssmjp
ykame
1
2.4k
Intel CTF and Open xINT CTF 20161220
ykame
1
1.2k
Hey Siri! Hello Barbie! ssmjp
ykame
0
900
How to create the alert by script of ZAP
ykame
2
700
[bpstudy] OWASP ZAP Vulnerable Assesment.
ykame
2
1.3k
What is ZAP?
ykame
0
500
MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29
ykame
2
530
Other Decks in Technology
See All in Technology
Raycast Favorites × Script Command で実現するお手軽情報チェック
smasato
1
130
AIエージェント元年
shukob
0
140
ソフトウェアエンジニアと仕事するときに知っておいたほうが良いこと / Key points for working with software engineers
pinkumohikan
1
140
2025-02-21 ゆるSRE勉強会 Enhancing SRE Using AI
yoshiiryo1
1
460
ビジネスモデリング道場 目的と背景
masuda220
PRO
9
690
Perlの生きのこり - エンジニアがこの先生きのこるためのカンファレンス2025
kfly8
1
240
JEDAI Meetup! Databricks AI/BI概要
databricksjapan
0
300
プロダクトエンジニア 360°フィードバックを実施した話
hacomono
PRO
0
130
2/18/25: Java meets AI: Build LLM-Powered Apps with LangChain4j
edeandrea
PRO
0
160
プロダクトエンジニア構想を立ち上げ、プロダクト志向な組織への成長を続けている話 / grow into a product-oriented organization
hiro_torii
1
330
わたしのOSS活動
kazupon
2
330
Potential EM 制度を始めた理由、そして2年後にやめた理由 - EMConf JP 2025
hoyo
2
1.6k
Featured
See All Featured
Java REST API Framework Comparison - PWX 2021
mraible
29
8.4k
Faster Mobile Websites
deanohume
306
31k
How STYLIGHT went responsive
nonsquared
98
5.4k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
114
50k
A designer walks into a library…
pauljervisheath
205
24k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
1k
Designing Experiences People Love
moore
140
23k
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.5k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Designing for humans not robots
tammielis
250
25k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Transcript
OWASP ZAPのススメ #ssmjp 2014/03/28 亀田 勇歩 @YuhoKameda
Agenda • 自己紹介 • ZAP機能紹介 • ZAPの使い方 • ZAPのコミュニティ紹介 •
まとめ
自己紹介
Profile 亀田 勇歩 (Yuho Kameda) – Twitter : @YuhoKameda 活動
– ZAP Evangelist – ZAPハンズオントレーニング in AppSec APAC – 『OWASP Zed Attack Proxy 運用マニュアル』執筆 協力
ZAP Evangelist
ZAPハンズオントレーニング in AppSec APAC
『OWASP Zed Attack Proxy 運用マニュアル』執筆協力 • Ver 2.1.0版にて作成 • インストール手順から
各種メニューまで
OWASP ZAP • Paros version:3.2.13をフォークしたもの • 簡単に使える、Webアプリケーションの脆弱性を発 見するための統合ペネトレーションツール • https://code.google.com/p/zaproxy/
• https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開 https://www.ipa.go.jp/about/technicalwatch/20131212.html
ZAP機能紹介(初心者向け)
Quick Start • 開始URLを指定し検査を行う • 操作が簡単
スパイダー検索 • 開始URLを選択し、スパイダー検索 • 簡単にサイトをクロールしてくれる
ブレーク機能 • リクエストをブレーク • レスポンスをブレーク • 特定条件(カスタム)の場合 にブレーク
ZAP機能紹介(中級者向け)
CSRFトークン • トークンに用いられるパラ メータを指定 • 使用する場合、オプション にて設定
強制ブラウズ • ディレクトリ調査 • カスタマイズも可能 • directory-list-1.0.txt 141,694件 収録 •
directory-list-2.3-big.txt 1,273,819件 収録 • directory-list-2.3-medium.txt 220,546件 収録 • directory-list-2.3-small.txt 87,650件 収録 • directory-***2.3-big.txt 1,185,240件 収録 • directory-***2.3-medium.txt 207,619件 収録 • directory-***2.3-small.txt 81,643件 収録
Fuzzer
Fuzzer • 攻撃文字列を連続試行 • 「Reflected」で簡単判別 • レスポンスで、すぐ確認 可能 • 試行パターンが豊富
– Format String Payloads – SQL Injection – Cross Site Scripting – など
ZAP機能紹介(上級者向け)
ZAP Script • 様々な状況下でスクリプトを実行 – Passive Rules • パッシブスキャン実行時に実行 –
Active Rules • 動的スキャン実行時に実行 – プロキシ • ZAPをプロキシとして使用する時 に実行 – Stand Alone • 手動で実行 – Targeted • 指定したURLに対して実行
Plug-n-Hack • Firefoxのアドオン • 有効にした後、Shift+F2で起動 • コマンドでZAP操作 – zap http-session
– zap record – zap scan – zap session – zap spider – …
Plug-n-Hack 22
ZAP API 23
Ajax Spider 24
Ajax Spider • Ajaxベースの動的解析ツール • Crawljax (http://crawljax.com/)
Manage Add-ons
ZAPの基本的な使い方
Context設定 • スコープを指定 – 検査対象を明示
除外設定 • (必要がある場合、)検査に 不要なリクエストを除外
Spider検索 • スコープ内をSpider検索
動的スキャン • スコープ内を動的スキャン – All In Scope – Site Scan
– Subtree – Single URL Scan
ZAP SCRIPTの使い方
言語スクリプトのアドオン追加 1. 各言語スクリプトのアドオン追加 i. 「Manage Add-ons」の「Marketplace」にアクセスする。 ii. 使用したい言語のアドオンをチェック iii. 「Install
Selected」を押下する。 ≪選択できるアドオン≫ – Zest - Scripting Security Tests – Python Scripting – Ruby scripting – など
スクリプトの作成 2. スクリプトの作成 i. 「Scripts」タブを選択 ii. 「New Script」を選択、もしくは「Templates」内のスクリプト を右クリックし「New Script」を選択
iii. 入力欄を選択し、「保存」を押下しスクリプトを作成 iv. 「Script Console」の結果出力部分に結果が表示される スクリプト実行方法 Passive Rules/Active Rules/プロキシ 「Enable Script」を選択し有効にする Stand Alone 「Script Console」タブにある「Run」を押下し実行する Targeted 「履歴」内か「サイト」タブ内のURLを右クリックし、 「Invoke with script」を選択し実行する
スクリプト実行例 • Traverse sites tree.js – ページ一覧抽出 • Find HTML
comments.js – HTMLコメント抽出
ZESTスクリプト例 • 一連の遷移をレコードし、マクロ化 – トークンやパラメータの引き渡しも可能
ZAPコミュニティの紹介
Google Group • OWASP ZAP Developer Group – メンバー数:314人 –
開始日:2010/08/17 – 主な内容 • ZAP開発に関すること • Extensionの開発 • バグ修正 • OWASP ZAP User Group – メンバー数:214人 – 開始日:2012/05/22 – 主な内容 • 使い方の質問 • 実装してほしいリクエスト
Google Group (NEW!) • OWASP ZAP Scripts – メンバー数:11人 –
開始日:2014/03/26 – 主な内容 • ZAPスクリプトを共有するためのグループ
Translations for the OWASP ZAP (https://crowdin.net/project/owasp-zap) • ZAP翻訳プロジェクト • 日本語翻訳度は26%
(2014/3/28現在) • だれでも参加可能
まとめ
まとめ • ZAPは、初心者には使いやすい、上級者には拘りを 実現できる検査ツール • 直感的に使いづらい部分は、使い方のコツを広めて いく • ターゲットを絞ったハンズオン(デモ形式)による教育 機会は非常に有効
• 幅広い層の方にZAPを使ってほしい! (Web開発/ 情シス/診断業務など)
Any Question? • Social Account – Twitter : @YuhoKameda •
E-mail –
[email protected]
• OWASP –
[email protected]
– https://www.owasp.org/index.php/User:Yuho_Kameda