スライド

Presentations by OWASP Japan // Speaker Deck

OWASP ZAPによる脆弱性診断

診断時の注意

• 自分の管理できる範囲でやってください
• 本番環境の診断は極力避けてください
• アンチウイルスソフトが攻撃と判断し通信を遮断する可能性あり

OWASP ZAPとは 

• OWASP Zed Attack Proxy
• 脆弱性診断ツール（自動化、手動も可）
• 世界的にも結構有名。
• オープンソース
• プロキシ系

ZAPの想定利用事例 

• 開発中の動作確認
  デバックしながら確認
• 受け入れテスト
  確認すべき検査項目を基に診断
• 脆弱性診断
  自動診断による網羅的な診断
  主導診断による抜け漏れの防止

役立つもの 

• OWASP Cheat Sheet－診断時に必要な項目のチェックリスト
• Pentester Skillmap Project JP－脆弱性診断士スキルマップ
• Webアプリケーション脆弱性診断ガイドライン
• ZAPの使い方「Webアプリケーション脆弱性診断ガイドライン利用のためのドキュメント」

OWASP Top10 に対応したZAPの機能 

• Active Scan Rule－動的スキャンのルール集
• Passive Scan Rule－静的スキャンのルール集
• HTTPセッション－特定条件にマッチした文字列をセッション情報として格納しセッションを使い分けて診断が可能
• パラメータタブ－サイトごとにパラメータの一覧が表示、1つ1つレスポンスを見無くても一挙に確認
• スパイダー／AJAXスパイダー－指定頁から繊維可能なページを探索
• Top10のうち、A2,A4,A7は自動診断では見つけられない

疲れたので続きは後日もしくはないかも