読者です 読者をやめる 読者になる 読者になる

参加メモ - セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^^)(第5回、第6回)

「セキュリティ診断 (自分でしたら)いかんのか? (OWASP ZAPなら)ええんやで(^^)」の第5回 (2014年11月30日(日)、http://security-testing.doorkeeper.jp/events/16925)、第6回(2014年12月16日(火)、http://security-testing.doorkeeper.jp/events/17727) に参加させていただきました。

このエントリは第1回~第4回は他の方がブログにまとめてくださっているもの(最下部に記載)に含まれている内容です。

私自身の備忘録として記載しています。詳細については最下部のブログを確認していただけると幸せになれるかもしれません。

間違っている点、抜けているように感じた点、補足があればコメントをいただけると幸いです。

講師は @DYOH2017さんです。

概要

第5回は設定・簡単な機能紹介編、第6回は暗号化通信の確認・証明書の設定を行いました。

ここでは勉強会内で行った設定および設定方法を書いていきます。項目としては以下です。

OWASP ZAPの説明、インストール方法は省略しています。


第5回
  1. OWASP ZAPを動かすまでの設定
    1. ブラウザ(Chrome / Firefox)の設定
      • 拡張機能「FoxyProxy」のインストールおよび設定
    2. OWASP ZAP の設定
      • 診断モードの変更
      • オプションの設定
  2. OWASP ZAPによる診断
    1. 診断
    2. 結果確認

第6回
  1. Basic認証のサイトへアクセス
  2. OWASP ZAP、Burpの証明書をブラウザ(Firefox / Chrome)へインポート

第5回 詳細

  • OWASP ZAP設定について
    1. Mode Change
      • 左上のプルダウンから「Protected mode」を選択
      • Default : Standard mode(全スキャン) - 制限なしでスキャンを行えます。
        絶対に管理外のサイトへ診断(攻撃)をしないようにしましょう。
      • Protected mode では「Quick Start」を起動できません。
    2. ポート設定
      ツール」>「オプション」内の以下の項目で設定を行う。
      1. 「ローカル・プロキシ」 - ポート:8080以外(コンフリクトを避けるため 例. 7777)
      2. 「ネットワーク」 - プロキシ・チェイン(Burp/Fiddlerを組み合わせて使える)
  • ブラウザ(Chrome/Firefox)の設定 - 拡張機能「Foxy Proxy」のインストール及び設定
    1. Foxy Proxyの設定(Firefox)
      • 「ファイル」>「プロキシを新規追加」から以下の項目の設定を行います。
        設定内容はそれぞれ読み替えてください。
        • [全般] タブ
          ・プロキシ名:適当(わかりやすいもの)
        • [プロキシ詳細]タブ
          ・手動設定:ホストまたはIPアドレス - 例.localhost
        • [URLパターン]タブ
          ・パターンを新規追加 (すべてのサイトに対して串を通す場合)
            パターン名:(例)ALL
            URLパターン:*(正規表現)
    2. ブラウザのツールバーにある「FoxyProxy」アイコンをクリック
      「モードを選択」で作成した「すべてのURLでプロキシ<プロキシ名>を使用」を選択
設定は以上、あとはアクセスしていろいろ見てみればOK!

第5回での診断〜第6回詳細は12/19(金)の夜に追記予定

参考

WEB系情報セキュリティ学習メモ

  1. OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・前編
    http://securitymemo.blogspot.jp/2014/11/owasp-zap-owasp-zap.html
  2. OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・後編
    http://securitymemo.blogspot.jp/2014/11/owasp-zap-owasp-zap_5.html
  3. OWASP ZAP ハンズオンセミナー 「第4回セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」内容まとめ
    http://securitymemo.blogspot.jp/2014/12/owasp-zap-4owasp-zap.html