OWASP ZAPの基本的な使い方(手動診断編)
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 12月から業務として脆弱性診断を毎日やっており、診断にはOWASP ZAPとFiddlerを利用しているのですが、ほぼ一月使ってみてZAPの使い方や便利さが分かってきたので、自分の把握したZAPの使い方をシェアすることにします。 はじめに・診断対象サイトについての注意OWASP ZAPでの診断は自分の管理下にあるサイトか、診断許可をもらっているサイトに対してのみ行ってください。(アクセス数によっては途中のインフラにも気をつける必要があります) 許可をもらっていないサーバへZAPの診断を走らせるのは、不正アクセスと解釈さ
Androidアプリ開発時に脆弱性をチェックする無償ツールが公開
情報処理推進機構(IPA)4月11日、Androidアプリの脆弱性を学習したり、点検したりできるツール「AnCoLe(アンコール)」を公開した。IPAへの届出が多い脆弱性について7つのテーマで、実際に開発したアプリをチェックできる。 AnCoLeは統合開発環境のEclipseに組み込んで利用する。開発中のアプリを読み込ませると脆弱性や問題点を点検し、結果では該当箇所のソースコードを把握できる。該当箇所については対策方法を学習できるようになっている。再点検を行って問題が無い場合は終了する。 学習対象の脆弱性テーマは、「ファイルのアクセス制限不備」「コンポーネントのアクセス制限不備」「暗黙的Intentの不適切な使用」「不適切なログ出力」「WebViewの不適切な使用」「SSL通信の実装不備」「不必要な権限の取得」の7つ。いずれも情報漏えいやアプリの改ざんなどにつながる恐れがある。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
