OWASP ZAP v2.3における自動認証設定の手順を説明します。 自動認証(ログイン)機能とは、 認証機能を持つWebアプリケーションのログインが必要なページにアクセスした時に、ログインしていないことを検知し、ログインしていなければ、内部でログインアクセスしてログイン状態にしてくれ、その状態で本来アクセスしようとしていたURLに改めてアクセスしてくれるという機能です。 参照:OWASP Zed Attack Proxy (ZAP)とは?これにより、スパイダー検索等を行う時に、ログアウトURLにアクセスしてログアウトしてしまった後でも自動で認証(ログイン)して処理を続行できるようになります。 今回の設定で使うWebアプリケーションOWASP BWA上の BodgeIt に対して脆弱性検査を行うことを想定します。参照:OWASP BWA (The Broken Web Applicatio
OWASP ZAPの基本的な使い方(手動診断編)
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 12月から業務として脆弱性診断を毎日やっており、診断にはOWASP ZAPとFiddlerを利用しているのですが、ほぼ一月使ってみてZAPの使い方や便利さが分かってきたので、自分の把握したZAPの使い方をシェアすることにします。 はじめに・診断対象サイトについての注意OWASP ZAPでの診断は自分の管理下にあるサイトか、診断許可をもらっているサイトに対してのみ行ってください。(アクセス数によっては途中のインフラにも気をつける必要があります) 許可をもらっていないサーバへZAPの診断を走らせるのは、不正アクセスと解釈さ
※当ブログではアフィリエイト広告を利用しています。 ペネトレーションテストツール「OWASP ZAP」でWEBサイトの脆弱性を簡易チェックする方法は以前、エントリにまとめましたが、フォームで入力チェックを行っている場合などはその方法では脆弱性を検知できないことがあります。 そのような場合でも「OWASP ZAP」をプロキシとして使用し、リクエストを再現すれば脆弱性を検知できるため、その方法をまとめます。 OWASP ZAPの簡易チェック(Quick Start)で脆弱性が発見できないのはどんな場合? 以前のエントリで紹介した方法では、指定したURLにOWASP ZAPが自動的にスキャンをかけて脆弱性をチェックしました。 しかしお問い合わせフォームなどでプログラムの先頭のほうで値の入力チェックを行う場合などは入力チェックエラー等で処理が途中で終わることがあります。このような場合、本来脆弱性が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
