これまで培ってきた Python技術を通じて 『お客様の顕在的・潜在的課題』 を解決し、DX化に貢献する
![株式会社ベイストリーム | 横浜市 Python、PHP、Webシステム開発](https://cdn-ak-scissors.b.st-hatena.com/image/square/02547dacab292be6831a65f1c59bc8b6028558b5/height=288;version=1;width=512/https%3A%2F%2Fslimestyle.sakura.ne.jp%2Fweb%2Fwp-content%2Fuploads%2F2021%2F10%2Fsns_img.jpg)
#OWT2017JP OWASP ZAP talk by 亀田勇歩, SCSK
無料で使えるWebアプリケーション脆弱性検査ツールに「OWASP ZAP」がありますが、 日本語化がまだまだ完全には出来ていないです。 日本語化するための手段として、翻訳サイト「Crowdin.net」が採用されています。 これはTwitterなどのアカウントを使用して、誰でもユーザ登録して参加することが出来ます。 この翻訳サイト「Crowdin.net」の使い方について書きたいと思います。 OWASP ZAPについて OWASP(Open Web Application Security Project)が提供している、WEBサイトの脆弱性を診断するためのぺネトレーションテストツールです。オープンソースで、無料で使用できます。 公式サイト https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project ダウンロード場所 htt
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・前編 8月から毎月一度開催されている「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」という、OWASP ZAPハンズオンセミナーに第一回から第三回まで参加し、講師の方に全体的な内容のまとめ&ブログ掲載の許可をいただいたので、これまで私がセミナーで学んだ内容を全部まとめてみます。 時系列に沿ったまとめではなく、セミナーの内容を頭から自習できるような一本の記事に再構成しました。 ブログ記事へのまとめ・編集による間違いやミスの混入の責任は私にあります。 また、一部、セミナーの時にとったメモを見ながら不明点を手元で確かめて書いている箇所があります。 リンク セミナーの案内ページ(セキュリティ診
以下の記事は情報が古くなっています。(2014年の記事が多いです) 準備 OWASP Zed Attack Proxy (ZAP)とは?Webアプリ脆弱性調査のためのプロキシツール選定起動同梱のJDKを使わずにMac版OWASP ZAP2.3を使う方法設定OWASP ZAP 2.3 自動認証機能の設定OWASP ZAPのコンテキスト、スコープ、URL正規表現についてOWASP ZAP の Scan Policy ダイアログボックスで設定を変更した時の挙動についてOWASP ZAP の Structural Parameters 設定項目OWASP ZAP のルート証明書を更新してブラウザにインポートする実践OWASP ZAP の Persist session と Snapshot session についてOWASP Zed Attack Proxy (ZAP)で脆弱性検査する方法ブラウザ
Software WebSecurity ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法※当サイトにはプロモーションが含まれています。 以前、OWASP ZAP に追加された attack mode の概要 というエントリを書きましたが、このATTACK modeを使った簡単なセキュリティ検査の手順をメモしておきます。この機能を使えば、ウェブアプリケーションの開発中にZAPが勝手に脆弱性スキャンしてくれます。 ※ この機能が追加される バージョン 2.4 はまだリリースされていないのですが、こちら から ZAP Weekly をダウンロードすれば試すことができます。 概要基本的には、ウェブアプリケーション開発時にウェブブラウザのプロキシとして ZAP を指定おくだけです。この時、ZAP 側で コンテキストというものを設定して、ATTACK mode にしておけば、アクセスし
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 12月から業務として脆弱性診断を毎日やっており、診断にはOWASP ZAPとFiddlerを利用しているのですが、ほぼ一月使ってみてZAPの使い方や便利さが分かってきたので、自分の把握したZAPの使い方をシェアすることにします。 はじめに・診断対象サイトについての注意OWASP ZAPでの診断は自分の管理下にあるサイトか、診断許可をもらっているサイトに対してのみ行ってください。(アクセス数によっては途中のインフラにも気をつける必要があります) 許可をもらっていないサーバへZAPの診断を走らせるのは、不正アクセスと解釈さ
オープンソースの脆弱性検査ツールであるOWASP Zed Attack Proxy(ZAP)について説明します。 概要OWASP Zed Attack Proxy (ZAP)の公式サイトによると以下のように説明されています(翻訳してみました)。 The Zed Attack Proxy (ZAP)は、Webアプリケーションの脆弱性を見付けるための簡単に使える統合ペネトレーションテストツールです。幅広いセキュリティの経験を持った人々に使って貰えるようにデザインされており、またペネトレーションテストをしたことがない開発者や機能テスターにとっても理想的なものになっています。 ZAPは手動で脆弱性を見付けることができるツール群はもちろんのこと、自動スキャナーも提供します。 OWASP Zed Attack Proxy Project 基本的な情報OWASP のプロジェクトの1つで、2010年9月
Webアプリケーション脆弱性スキャンツール サイト https://code.google.com/p/zaproxy/ https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project インストールと下準備 今回はOS X 10.9.1にインストールしました 必要なもの JREが必要なので、必要な場合は予め入れておく http://java.com/ja/download/ Mervericksには最初から入っていたので、何もしていない Firefox 標準ブラウザとしてFirefoxを期待しているようなので入れておく http://www.mozilla.jp/firefox/ アドオン追加時に標準である必要があるだけで、追加してしまえば、標準ブラウザとしていなくても動く様子 DLして展開して実行する http://sourc
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く