この記事は GMOアドマーケティング Advent Calendar 2020 14日目の記事です。 はじめに こんにちは、GMOアドマーケティングのR.Yです。今回はタイトルの通り、Railsで作った脆弱性をOWASP ZAPで診断してみたいと思います。 自分は主にRailsを使ったWebアプリの開発やWebアプリの脆弱性診断を行うことが多いので、この記事を書くことによってRailsのセキュリティ周りや脆弱性診断を行うツールについての理解をより深められたら良いなと思います。 1.用意するもの Ruby On Rails 5.2.3 OWASP ZAP 2.9.0 2.調べる脆弱性 SQLインジェクション 2-1.SQLインジェクション SQLインジェクションとはWebアプリのリクエストで送られるパラメータを意図的に操作し、データベースを操作するクエリに対して行われる攻撃手法です。 例:
コラム - ウェブ・セキュリティ学習のため徳丸本を読んでみた | 第3回 M1/M2 Mac に対応!Docker 環境で実習環境を構築しよう|CTC教育サービス 研修/トレーニング
[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes 第3回 M1/M2 Mac に対応!Docker 環境で実習環境を構築しよう (三雲 勇二) 2023年1月 みなさん、こんにちは。 エンジニアをしております、三雲と申します。 普段は初心者エンジニアに Web セキュリティについて教えることがあります。 ウェブセキュリティの分野は徳丸本(安全なWebアプリケーションの作り方 第2版)をオススメしております。 今回も初心者の気持ちで徳丸本を読んで、気になった部分について確認していきたいと思います。 第1回で実習環境を準備したのですが、M1/M2 Mac では実習環境が構築できないという点がありました。 ですが、なんと徳丸先生から M1/M2 Mac 対応 Docker 版の実習環境公開のアナウン
瑕疵担保責任(かしたんぽせきにん)とは…傷物(欠陥品). を売ったり作ったりしたときに負うことになる. 責任 参考:http://www.kokusen.go.jp/wko/pdf/wko-202004_11.pdf なのに、なのに、owasp zapで脆弱性診断したら法に抵触しちゃうなんてことが〜あるんですよ〜〜〜(。・ω・。)な〜〜〜〜に〜〜〜〜。ということで、、、、 調べたので書きました!というものです! 脆弱性診断ではどのような法に抵触する恐れがあるか ちなみにここで説明するものは情報システム等の脆弱性情報の取扱いにおける法律面の調査 報告書改訂版を参考にしています。 〇〇法と書かれていなくても違反すると法の裁(さば)きにあうものは書いています。 不正アクセス禁止法 秘密保持契約違反 不正指令電磁的記録作成等の罪 それぞれの法について解説 ちなみにここで説明するものは情報システム等
本記事は NECソリューションイノベータ Advent Calendar 2021の 12/12 の記事です。 はじめに 最近、2008年製の開発PC(Windows 10, 4CPU, 16GBメモリ)がついに寿命を迎え、開発環境を MacBook(M1チップ) に移行することになったのですが、セキュリティテストで利用していた OWASP ZAP のコンテナイメージが M1 上で動作しなくて途方にくれていたら、GitHub Actions で動くようになっていたという情報を見つけたので、実際に試してみました。 注意 OWASP ZAP が実施する脆弱性診断のための通信は、攻撃とみなされることがありますので、自分たちで管理していない外部サイトなどに対して使用しないよう十分にご注意ください。 フロントエンドに Full Scan を実施する 1. GitHub リポジトリの作成&設定 はじめ
OwaspZapでログイン認証でInvalidAuthenticityTokenとなってしまう - Qiita
はじめに やっとFireFoxでlocalhostにアクセスできるようになり、いざ作成しているサイトにログインしようとしたらなぜかエラーになりました。 しらべてみるとプロキシが大きく関係していそう。 記事に見当たらなかったので今回はまとめていきます。 問題 ログイン認証をしたときに以下のエラーが発生する。 また、パラメータはしっかりと送られていることを確認できた。
はじめに CircleCIで初めてリモートDocker(setup_remote_docker)を使った。それなりにハマったので整理 IPがプライマリとリモートで異なる テスト対象はdevelop環境なので、AWS WAFでIP制限をしている 既にCypressでE2Eテストを実行しているので、実施前後でWAFにIP追加(削除)の実績有りだったが、IPが異なるのでハマった WAFのIP追加はcommandsで共通化しているので、parametersにリモート有無を追加 リモート $DOCKER_HOST プライマリ コンテナ curl -s ifconfig.me commands: waf-add-address: parameters: is-remote: type: boolean default: false steps: - run: name: waf-add-address
2023年版このブログを支える技術その2(OWASP ZAP / Snykでお金をかけない脆弱性診断)
みなさま、お疲れさまでございます。 本年も始まってしまい、すっかり仕事モードかと思いますが、前回に引き続きこのブログを支えてる技術をご紹介したいと思います。 今回はセキュリティ編、ということでSnykとOWASP ZAPを使って お金をかけない脆弱性診断 を個人開発でも実現できる方法で検討していきたいと思います。 SnykSnyk(スニーク)というサービスを皆さまご存じでしょうか? 長年、特にDependabotがGitHubで使えるようになる前からライブラリのセキュリティ対策に興味のあった人ならご存じかもしれません。 公式の日本語Webサイトでは次のようにサービスが紹介されております。 Snyk(スニーク)は、安全な開発を迅速に行うことを支援しています。コードやオープンソースとその依存関係、コンテナやIaC(Infrastructure as Code)における脆弱性を見つけるだけでなく
webサイトの「脆弱性」を見つけるツール「OWASPZAP」
疑問ハッキングってよくわからないけど怖い!! ハッキングから身を守るにはどうすればいいの? そんな方への記事です。 結論ハッキングの手法を知ることで身を守れるようになります。 「3分ハッキング」という書籍を参考にしながら一緒に学んでいきましょう。 あらすじ「3分ハッキング」では新入社員の「しょーじ君」がハッキング技術を一から学んでいくストーリーです。 ハッキングツールを入手したり、会社がハッキングされたり、最後には自分が、、、などいろいろな展開があります。 実際に手を動かしながら学べるようにもできています。 わたしも同じ流れで学んでいこうと思います。 本自体は2時間ほどで読みあわるボリュームでした。 ストーリー形式だったので楽しく読めましたよ♪ 「しょーじくん」含め、登場人物みんなのIT知識はとても高かったですが(笑 脆弱性を調べるツール「脆弱性」とは、ハッキングに悪用される設定ミスや不具
DevSecOps:JenkinsとOWASPZAPを使用したCI / CDWebアプリケーションのテスト。 開発環境では、開発者はネイティブコード言語を使用してアプリケーションを構築し、それをGitHubで共有して、チーム内の他の開発者がアプリケーションを確認、強化、拡張できるようにします。プロセス中、ソフトウェアの定期的なテストが実行され、サイバー攻撃に対する製品の機能とアプリケーションの堅牢性が確認されます。 開発やその他の操作を時間効率の良い方法でどのように達成できますか? DevSecOpsは、ソフトウェア開発チームとITチームの間のプロセスを自動化および統合するために機能する一連のプラクティスであり、アプリケーションをより迅速かつ確実に構築、テスト、およびリリースできます。 ここでは、オープンソースのDevSecOpsツールを使用して、より単純なワークフローを示します。(すべて
社内AWS研修の振り返り - Qiita
取り組みを実施した背景 社内の新人Webエンジニアがインフラにあまり慣れていなかった為、インフラスキルの向上を目的にAWS研修を実施していただきました🙇♂️ 実施にあたり自分のAWSに関するスキル感 EC2上でWordPressを立てたことがある プライベートサブネットにWordPressのEC2サーバを、プライベートサブネットにMySQLのEC2サーバを立てた ELBやAWS Auto Scalingは使用したことがない 今回作ったインフラの構成図と使用したもの 開発環境 本番環境 使用したもの OS: Amazon Linux release 2 (Karoo) リバースプロキシサーバ: nginx 1.18.0 WEBサーバ: PHPビルトインウェブサーバ PHP 8.0.1 DBサーバ: MySQL 8.0.20 研修の流れと「やったこと、わかったこと、わからなかったこと」 座
コラム - ウェブ・セキュリティ学習のため徳丸本を読んでみた | 第2回 OWASP ZAP を使ってフォーム入力情報を書き換えてみよう|CTC教育サービス 研修/トレーニング
[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes 第2回 OWASP ZAP を使ってフォーム入力情報を書き換えてみよう (三雲 勇二) 2023年1月 みなさん、こんにちは。 エンジニアをしております、三雲と申します。 普段は初心者エンジニアに Web セキュリティについて教えることがあります。 ウェブセキュリティの分野は徳丸本(安全なWebアプリケーションの作り方 第2版)をオススメしております。 今回も初心者の気持ちで徳丸本を読んで、気になった部分について確認していきたいと思います。 前回は実習環境を準備したので、さっそく実習環境を活用しながら本の内容を実習していきたいと思います。 今回は p.44 ~ p.72 の範囲を中心に、初めて使う方もいらっしゃるであろう「OWASP ZAP」ツ
情報セキュリティにおいて脆弱性診断は、昔から実施されている防御策の一つです。己の弱点を知って事前に対策をすることでリスク軽減することが可能です。 今回は、「OWASP ZAP」というオープンソースのツールを利用してみます。「OWASP」(オワスプと呼んでいます)とは「Open Web Application Security Project」の頭文字で、その名のとおりWebアプリケーションのセキュリティプロジェクトを実施する国際的なコミュニティです。「OWASP ZAP」は、「OWASP」が作成したWebサイト向けの脆弱性診断ツールで、非営利、営利を問わず誰でも利用できます。 いろいろなプラットフォーム上で動作しますが、Azure DevOpsのPipelines上でdockerを利用して診断してみたいと思います。 Azure DevOpsの登録Azure DevOpsは制限付きではあるも
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Railsで作った脆弱性をOWASP ZAPで診断してみる
owasp zap(脆弱性診断ツール) と 法律 - Qiita
GitHub Actions で OWASP ZAP が動くだと!? - Qiita
OWASP ZAP DockerをCircleCIで実行 - tezu memo blog
DevSecOps:JenkinsとOWASPZAPを使用したCI / CDWebアプリケーションのテスト。
【簡単!】Azure DevOpsで「OWASP ZAP」による脆弱性診断を行う方法