この記事は GMOアドマーケティング Advent Calendar 2020 14日目の記事です。 はじめに こんにちは、GMOアドマーケティングのR.Yです。今回はタイトルの通り、Railsで作った脆弱性をOWASP ZAPで診断してみたいと思います。 自分は主にRailsを使ったWebアプリの開発やWebアプリの脆弱性診断を行うことが多いので、この記事を書くことによってRailsのセキュリティ周りや脆弱性診断を行うツールについての理解をより深められたら良いなと思います。 1.用意するもの Ruby On Rails 5.2.3 OWASP ZAP 2.9.0 2.調べる脆弱性 SQLインジェクション 2-1.SQLインジェクション SQLインジェクションとはWebアプリのリクエストで送られるパラメータを意図的に操作し、データベースを操作するクエリに対して行われる攻撃手法です。 例:
久しぶりの Web。周回遅れになっているので、情報収集のために参加した。思っていたのとは、ちょっと違った*1が、参加してよかった。充実した 1 日になった。 案内 https://www.owasp.org/index.php/2017_OWASP_World_Tour_Tokyo 詳細 Opening "OWASP Project Overview for Developers" Training 1 "OWASP TOP 10 を用いた脆弱性対応" Training 2 "最小権限の具体的な実現方法" Training 3 "開発者・運用担当者に向けた、OWASP ZAP を用いた脆弱性診断手法" Training 4 "OWASP BWA を用いた学生および職員向けトレーニング" Training 5 "開発プロジェクトの現状を把握する OWASP SAMM の活用" Closing
コラム - ウェブ・セキュリティ学習のため徳丸本を読んでみた | 第3回 M1/M2 Mac に対応!Docker 環境で実習環境を構築しよう|CTC教育サービス 研修/トレーニング
[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes 第3回 M1/M2 Mac に対応!Docker 環境で実習環境を構築しよう (三雲 勇二) 2023年1月 みなさん、こんにちは。 エンジニアをしております、三雲と申します。 普段は初心者エンジニアに Web セキュリティについて教えることがあります。 ウェブセキュリティの分野は徳丸本(安全なWebアプリケーションの作り方 第2版)をオススメしております。 今回も初心者の気持ちで徳丸本を読んで、気になった部分について確認していきたいと思います。 第1回で実習環境を準備したのですが、M1/M2 Mac では実習環境が構築できないという点がありました。 ですが、なんと徳丸先生から M1/M2 Mac 対応 Docker 版の実習環境公開のアナウン
#OWT2017JP OWASP ZAP talk by 亀田勇歩, SCSK
はじめに 上司:「社内で簡単なセキュリティテストできるようにしたいから、オープンソース系の脆弱性検知ツール使えるようになってね。OwaspZapとか」 私 :「おわすぷ…なにそれおいしいの?」 そんな一幕から今年、セキュリティのお勉強を始めたエンジニア4年生です。 セキュリティ分野のバックグラウンドのないアプリケーションエンジニアが理解しやすい(と私が思う)お勉強の始め方について書きます。 セキュリティを勉強しはじめて本当によかった 今年ちょっとした品質管理的なお仕事を担当したことをきっかけに、セキュリティの勉強を始めました。 セキュリティ、といっても本当に基礎的な部分をなめただけですが、目から鱗だったことがたくさんあって、 「これまで知らずに書いてた自分のコードが怖い!」 と、頭を抱えたくなったことも多数。 少しでも知識がつくと実際のプログラミングや設計に影響があることはもちろん、緊急の
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Railsで作った脆弱性をOWASP ZAPで診断してみる
2017 OWASP World Tour Tokyo - あしのあしあと
OWT2017JP-OWASPZAP
アプリケーションエンジニアのためのセキュリティことはじめ - Qiita