OWASP Zed Attack Proxy (ZAP)で脆弱性検査する方法
OWASP Zed Attack Proxy (ZAP)の使い方の例をいくつかメモします。各操作の細かい説明は別の記事で書くかもしれません。 ※ 本記事で使用するOWASP ZAPのバージョンは、2.2.2です。 使い方1:ローカル・プロキシとしてブラウザの通信内容をチェックするOWASP ZAPをローカルのプロキシとして使用し、ブラウザの通信をOWASP ZAP経由で行います。その後、記録された通信内容を確認する、といった使い方です。 OWASP ZAPを起動します。ブラウザを起動します。ブラウザのプロキシ設定で、OWASP ZAPの動作するホストとポート番号をセットします。ブラウザ上で診断の対象となるWebサイトにアクセスします。目的のページで目的の動作を行います。OWASP ZAPの[サイト]タブで、目的のリクエスト(URL)をクリックし、[リクエスト]タブや[レスポンス]タブで通信
OWASP ZAPの基本的な使い方(手動診断編)
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 12月から業務として脆弱性診断を毎日やっており、診断にはOWASP ZAPとFiddlerを利用しているのですが、ほぼ一月使ってみてZAPの使い方や便利さが分かってきたので、自分の把握したZAPの使い方をシェアすることにします。 はじめに・診断対象サイトについての注意OWASP ZAPでの診断は自分の管理下にあるサイトか、診断許可をもらっているサイトに対してのみ行ってください。(アクセス数によっては途中のインフラにも気をつける必要があります) 許可をもらっていないサーバへZAPの診断を走らせるのは、不正アクセスと解釈さ
Selenium と OWASP ZAP を使った自動脆弱性検査への道標
Webアプリケーションをローカル環境で開発している場合に、Selenium と OWASP ZAP を使って自動的に脆弱性検査を実行するための設定・実行手順について説明します。使用するプログラミング言語には依存しない範囲で書くので、具体的な記述方法までは踏み込みません。 前置き大まかに言うと、開発中のWebアプリケーションに対してまず Selenium を使ったテストを実行し(この時、ブラウザのプロキシ設定をZAPにしておきます)、その後で OWASP ZAP による脆弱性検査を行います。自動といっても、今回はローカルのPC上でブラウザやZAPがGUI起動することを前提としています。GUIのない環境でブラウザを実行できるツールもありますし(XVFB, PhantomJS, etc.)、ZAPもデーモンモードで起動できますので、CUI環境(サーバ上等)でも今回のテストは可能なはずです。しかし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
