Selenium と OWASP ZAP を使った自動脆弱性検査への道標
Webアプリケーションをローカル環境で開発している場合に、Selenium と OWASP ZAP を使って自動的に脆弱性検査を実行するための設定・実行手順について説明します。使用するプログラミング言語には依存しない範囲で書くので、具体的な記述方法までは踏み込みません。 前置き大まかに言うと、開発中のWebアプリケーションに対してまず Selenium を使ったテストを実行し(この時、ブラウザのプロキシ設定をZAPにしておきます)、その後で OWASP ZAP による脆弱性検査を行います。自動といっても、今回はローカルのPC上でブラウザやZAPがGUI起動することを前提としています。GUIのない環境でブラウザを実行できるツールもありますし(XVFB, PhantomJS, etc.)、ZAPもデーモンモードで起動できますので、CUI環境(サーバ上等)でも今回のテストは可能なはずです。しかし
OWASP Night #17へ行ってきた - ただのにっき(2015-04-09)
■ OWASP Night #17へ行ってきた アキバに行くの、何年ぶりだろう。とんと行く用事がなくなってしまったからなぁ。そんなアキバはUDXで、スポンサーにhpを迎えてのOWASP Night、2時間で席が埋まったらしく、ほんと東京のIT系勉強会はいろいろハードル高い。 メガネを忘れてしまったので前の方で聴こうと思って座ったら隣に徳丸さんがいらして、Webアプリケーションフレームワークの雑談などしてる間に(珍しくOWASPリーダーたちの雑談もそこそこに)スピーチ開始。 最初は(今回のスポンサーでもある)HPのFortifyという製品群に関する話で、セキュリティチェックをもっと開発中にしようという話題だったのだが……うーん、それすでに、OWASP AppSec APAC 2014で「CIで回そう」って話があって、もうやってる製品もあるってことだったので、提案自体はいまさらだし、セキュリテ
OWASP Night #15へ行ってきた - ただのにっき(2015-01-15)
■ OWASP Night #15へ行ってきた 申し込み開始に気づくのが遅れてキャンセル待ちになってしまったのだけど、会場のラックが受け入れ人数を増やしてくれたので滑り込めた。ラックに行くのは初めてだけど、100人以上入れる広くてオープンなカンファレンススペースがあるの、すごくいいねぇ。ピザのデリバリーも太っ腹だし、すばらしい。 冒頭の徳丸さんのプレゼンは、さいきん徳丸さんが追ってるWebアプリケーションフレームワークやO/Rマッパーが内包しているSQLインジェクション脆弱性に関する解説。アプリケーションレベルのSQLiはもう技術的にはファイナルアンサーが出ているので、あとは自力でSQLを組み立てざるを得ないこれらのライブラリの脆弱性を潰していこうという趣旨。うむうむ。けっこうオフレコっぽいヤバめの話もあって面白かった。しかしなぁ、こういうの聞くたびに思うんだけど、おれぜったいPHPでセキ
OWASP Night 13thへ行ってきた - ただのにっき(2014-09-08)
■ OWASP Night 13thへ行ってきた これを書いている時点ですでに2日が経過していて記憶も定かではないのだけど、メモだけ残しておくか。OWASP Nightはいつもアルコールが入るのでそもそも記憶を保持しにくい設計になっているのだけど、もしかしれこれ、セキュリティ上の配慮なのでは……。とはいえいつも最後までいられないので、ドリンクチケットを2枚もらっても使い切れないのだった。 というわけで「OWASP Night 13th」へ行ってきた。タイムテーブルが現地でしか公開されなかったので、記憶にある範囲で。というか最初の「最近のOWASP Project」面白かったですね。OWASPで運用されているプロジェクトがどういう経緯で採択されたのか、その仕組みは、みたいな話で、OSS界隈的にはApache Software Foundationに似た感じなのだね(ということを今ごろ知るとか
OWASP AppSec APAC 2014に参加 (4日目) - ただのにっき(2014-03-20)
■ OWASP AppSec APAC 2014に参加 (4日目) 昨日に引き続きカンファレンスDayにして最終日。けっこう大物日本人の講演が入ってるんだけど、裏でやってる外人さんの講演も面白そうなので悩ましい。たぶん日本人の話は別のイベントでも聴けると思うので、なかなか聴けない人の話を優先で。 Beginning Mobile Security (Jerry Hoff) わりと概略っぽい発表だったのでそれほど目新しいことはなく。ただ、モバイルアプリのリスクの多くはいまだサーバサイドにあるのだから(OWASP的な観点で)Web技術のセキュリティは引き続き重要だよ、という指摘は重要。技術者はついつい目新しい方に引っ張られてしまうし。あと、やたらとPhoneGapをdisっていた(たぶんブラウザの保護のない領域で安易にHTML+JavaScriptを使っているという視点だと思う)。質問タイムに
OWASP AppSec APAC 2014に参加 (3日目) - ただのにっき(2014-03-19)
■ OWASP AppSec APAC 2014に参加 (3日目) さて、カンファレンスDayの初日。そういえば学生時代は毎日通っていた御茶ノ水もずいぶん久しぶりで、今回の会場であるsola cityができたのも知らなかった。昨日は春一番ですさまじいビル風だったけど、今日は穏やか。日英の講演が2~3トラックという体裁だけど、同時通訳がつくのでいろいろ安心。 Deploying information security management for proper data life-cycle (山口英) 山口さんは大好きなのでこのイベントの目的はほぼこれといっても過言ではない(ので足を悪くされているとのことで心配)。しゃべりはあいかわらずだった……いや、ちょっとおとなしめ? 守るべきはシステムではなくデータだという指摘は、(ビッグデータ云々のご時世を抜きにしても)常に意識していないといけな
OWASP AppSec APAC 2014に参加 (2日目) - ただのにっき(2014-03-18)
■ OWASP AppSec APAC 2014に参加 (2日目) 日本にやってきたOWASP AppSec APAC 2014、本当は昨日からだけど今日のトレーニングから参加してきた。今日の「Developer Security Training」は明日からのカンファレンスに参加する人は無料で受けられるもので、講師はJim Manico。Webアプリケーションの開発時に留意すべきセキュリティ上のポイントについての解説だった。 まぁ、例によって英語だったわけですが、すばらしく明瞭な発音、意識的かどうかわからないけど少なめの語彙を使っての解説は、日本人にもかなりわかりやすかったと思う*1。先週のアーリントン出張から間がないからおれもまだ英語耳だったというのもあるし。 内容的には網羅的であるがゆえに深い話はなく、それなりに意識的なWebデベロッパーであれば目新しい話はなかったかな。個人的にはセ
OWASP Night 10thへ行ってきた - ただのにっき(2014-02-19)
■ OWASP Night 10thへ行ってきた 2月は「情報セキュリティ月間」なのでセキュリティ業界はイベント目白押しでやたらと忙しい。今夜もOWASP Night 10thがあったので行ってきた。実は直前になってDEFCON Japanが同じ日程、しかもCODE BLUEのために来日しているジェフ・モスの講演というおいしい企画をぶつけてきた。まぁOWASP Nightの方に先に申し込んでいたのでそちらへ行くんだけど。DEFCONには同僚に行ってもらうことにした。 OWASP AppSec APAC 2014*1が来月に迫っているということで、冒頭は上野さんによるセッションの解説で、これは意外と良かった。大規模なカンファレンスの「見どころ聴きどころ」を主催者目線で語ってもらうという機会はあんまりないけど、選考基準とかターゲットなんかを事前に知っていると役立つし、予習もできるしな。他のカン
深刻な「ブラインドSQLインジェクション」の脅威
2013年11月18日から11月21日の4日間にわたり、アメリカ合衆国ニューヨークでWebアプリケーションのセキュリティに関する国際的なカンファレンスである「OWASP AppSec USA 2013」が開催されました。 世界各国から開発者・研究者が一堂に会するこの一大イベントに参加してきましたので、その模様を報告します。 Webアプリセキュリティにまつわるあらゆる話題を扱う「OWASP」 OWASP(Open Web Application Security Project)は、WebアプリケーションおよびWebサービスのセキュリティ向上を目的とした、ボランティアによるプロジェクトです。 今回参加した「AppSec」をはじめとするカンファレンスの開催による知識の展開やトレーニングを通じた開発者のスキル向上の他、開発者向けガイドラインの作成、テストツールの開発・公開などを行っています。ツー
OWASP ZAPを触ってみる - Qiita
Webアプリケーション脆弱性スキャンツール サイト https://code.google.com/p/zaproxy/ https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project インストールと下準備 今回はOS X 10.9.1にインストールしました 必要なもの JREが必要なので、必要な場合は予め入れておく http://java.com/ja/download/ Mervericksには最初から入っていたので、何もしていない Firefox 標準ブラウザとしてFirefoxを期待しているようなので入れておく http://www.mozilla.jp/firefox/ アドオン追加時に標準である必要があるだけで、追加してしまえば、標準ブラウザとしていなくても動く様子 DLして展開して実行する http://sourc
OWASP AppSec APAC 2014 | セキュリティ チョットデキル人、集合。
ウェブセキュリティの国際会議、はじめての東京開催。 March 17th - 20nd, 2014, at Tokyo, Japan OWASP Global AppSec APACは、ソフトウェアセキュリティに関する国際的なカンファレンスです。ソフトウェア技術の関係者、監査人、リスクマネージャ、研究者、アントレプレナー、最先端の実践者とともに、ウェブのセキュリティを高めるための最新の調査研究や、知見を共有することを目的としています。 2014年のアジア・パシフィックエリアでのGlobal AppSec開催は、ついに3月17日より20日まで、はじめて東京で開催されます。ご期待ください。 企業・団体の皆様:この機会に、是非スポンサーシップへのご参画をご検討ください。このスペースなどにロゴを掲載できます。 OWASP AppSec Conferenceに参加すべき理由 クリティカルな情報基
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開:IPA 独立行政法人 情報処理推進機構
ウェブ改ざんに繋がる脆弱性等をコストをかけずに検査する、3種のツールの使い勝手を比較 2013年12月12日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイトの脆弱性を検査するオープンソースのツール3種の評価を行い、ツールの特徴と使用における留意点をまとめたレポート「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」を2013年12月12日からIPAのウェブサイトで公開しました。 2013年は、ウェブアプリケーションやウェブサイトを構成するミドルウェアの脆弱性が原因で、多数のウェブサイトで改ざんや情報漏洩などが発生しました。例えば、ユーザが改ざんされたウェブサイトを閲覧し、ウイルスに感染した場合、ウェブサイトを運営する組織は、ユーザへの謝罪や風評対策などの対応を迫られることになります。 現在、ウェブサイトを持たない組織
OWASP JAPAN Local Chapter Meetingに行ってきた - ただのにっき(2013-03-14)
■ Google Readerが終了だそうで 朝からGoogle Reader終了の一報が駆け巡って、なかなかの騒ぎだった。最近のGoogleは油断がならん。というか、やめちゃうほどユーザが減ってたんだなぁ(元責任者の推測が面白い)。おれの周囲ではかなりのシェアだったんだけどね、Google Reader。 正直、(自分が愛用している)livedoor reader (LDR)の方が先に終わるだろうと思ってたし(笑)。もちろん、malaプロダクツであるLDRへの技術的な信頼性は圧倒的なんだけど、ライブドアをとりまく環境が不安定すぎて先行き不透明に感じてしまうのはしかたない。でも、こうなった以上はいっそう末永く続けてくらはいと祈るしかないな*1。 この「事件」をうけて「RSSはもうオワコン」的な意見をよく見かけたけれど「そりゃあんたがそれで十分な生活してるだけだろ」という話だよなぁ。ソーシャ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
