はてなブックマーク

WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 OWASP ZAPは、単体で使うよりもFiddlerやBurp Suiteなどの他のローカルプロキシと組み合わせて多段プロキシの形にして利用するほうが便利です。 ■なぜZAP+他プロキシの形にするか OWASP ZAPはいろいろ便利な機能がある反面、ログ機能に関していまいちな挙動をいくつか持っています。 OWASP ZAPのログ機能のいまいちさの例（ZAP 2.5.0での現象）： ・「動的スキャン」のログと「履歴」のログが別で、診断対象サイトにアクセスしたり動的スキャンした後に、いったんセッションファイルを保存してZA

本件はEC-CUBEに関しての一番最初の届出だったのですが、再現方法が複雑で、自分の説明がうまくなかったのもあって、IPAの方と話がうまくかみ合わず苦労した覚えがあります。 これはPostgresを利用しているEC-CUBEの上記バージョンにおいて、不正なUTF-8文字コードをリクエストに含めるとエラーが発生し、エラーメッセージとして、PHPSESSIDに紐づいているPHPセッションオブジェクトに入っている情報の先頭680バイト部分（長さは環境による）が、ユーザーのブラウザ上で暴露されてしまう、という脆弱性と、そのエラーメッセージのダンプにタグを含ませることができ、XSSが可能、という脆弱性です。 再現に使ったPostgreSQLのバージョンは9.2.3で、MySQL利用のEC-CUBEだと再現せず、またEC-CUBE2.12.3では同様の攻撃を行っても情報は出力されませんでした。 当時使

WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 12月から業務として脆弱性診断を毎日やっており、診断にはOWASP ZAPとFiddlerを利用しているのですが、ほぼ一月使ってみてZAPの使い方や便利さが分かってきたので、自分の把握したZAPの使い方をシェアすることにします。 はじめに・診断対象サイトについての注意OWASP ZAPでの診断は自分の管理下にあるサイトか、診断許可をもらっているサイトに対してのみ行ってください。（アクセス数によっては途中のインフラにも気をつける必要があります） 許可をもらっていないサーバへZAPの診断を走らせるのは、不正アクセスと解釈さ

OWASP ZAP ハンズオンセミナー 「第4回セキュリティ診断（自分でしたら）いかんのか？（OWASP ZAPなら）ええんやで(^ ^)」内容まとめ 株式会社トレードワークス セキュリティ事業部の松本さんが8月より月イチで開催しているOWASP ZAP ハンズオンセミナーの第4回目の内容のまとめです。 ※まとめの前に注記ですが、このまとめを書いている私、g_satoは2014年12月1日より、セミナー講師の松本さんが所属する会社のセキュリティ事業部に転職し、念願の脆弱性診断業務に就くことになりました。 セミナー開催者の身内の立場になったのに、個人ブログでこのセミナーについて取り上げると、構図的にステマ風味になってしまうのですが、媒体はともかくセミナーの内容をフル公開するのは普通に良いことだと思うので、今回は身内であることを明記しつつ、従来どおりここでまとめます。（でもやっぱステマっぽいの

WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 EC-CUBEで脆弱性を見つけたり、mixiの脆弱性報告制度で成果を挙げたりしたせいか、「どうやって脆弱性を見つけてるんですか？」という質問をされることが時折あり、一応手順は説明するのですが、いつも口頭で細かくは説明できなくて申し訳ないので、自分のやり方をまとめてこのブログにアップしておきます。 標準的な脆弱性検査のやり方しか説明していないので、脆弱性検査のやり方を既に把握している人が読んでも得るものは少ないのではないかと思います。今回は脆弱性検査に興味があるが何をどうしたらいいか分からないような初心者向けコンテンツで

OWASP ZAP ハンズオンセミナー 「セキュリティ診断（自分でしたら）いかんのか？（OWASP ZAPなら）ええんやで(^ ^)」第一回～第三回の内容まとめ・後編 2）実際の検査におけるZAPの設定と手順 前編の1)で「Standerd Mode」の状態で「クイックスタート」による検査を行ったが、これはあくまでもZAPの動作を確認するための手順で、実際の検査ではもう少し細かい指定をして検査を行う。 以下に実際の検査時の手順を説明する。 ・ブラウザのプロキシを設定し、ブラウザで検査対象のページにアクセスする 前編の事前準備のところで解説した手順で、ZAPのプロキシ設定の調整（調整不要ならデフォルトで）と、ブラウザへのプロキシ設定を行う。 その状態で、検査対象とするサイトにアクセスすると、ZAP画面下部の「履歴」タブや左の「サイト」のところにアクセスしたサイトやURLが表示される。 ・モー

OWASP ZAP ハンズオンセミナー 「セキュリティ診断（自分でしたら）いかんのか？（OWASP ZAPなら）ええんやで(^ ^)」第一回～第三回の内容まとめ・前編 8月から毎月一度開催されている「セキュリティ診断（自分でしたら）いかんのか？（OWASP ZAPなら）ええんやで(^ ^)」という、OWASP ZAPハンズオンセミナーに第一回から第三回まで参加し、講師の方に全体的な内容のまとめ＆ブログ掲載の許可をいただいたので、これまで私がセミナーで学んだ内容を全部まとめてみます。 時系列に沿ったまとめではなく、セミナーの内容を頭から自習できるような一本の記事に再構成しました。 ブログ記事へのまとめ・編集による間違いやミスの混入の責任は私にあります。 また、一部、セミナーの時にとったメモを見ながら不明点を手元で確かめて書いている箇所があります。 リンク セミナーの案内ページ（セキュリティ診