脆弱性診断ええんやで行ったメモ -OWASPとは・OWASP ZAPの設定-

OWASPとは

  • The Open Web Application Security Project.
  • セキュリティに関するツールを作成

OWASP ZAPって何?

  • OWASPの管理するセキュリティツール
  • 基本的にはただのプロキシのツール
  • Java読めると便利やで

脆弱性診断手法・基本編

業務フロー

今回はこの★のついたところを勉強した

1. 情報収集 ★

  • 最低限の情報が必要。
  • URLやアカウント。

2. 対象精査

  • ページ数
  • 動的ページがどれか
    • どのページに診断が必要か

3. 脆弱性診断 ★

  • ツールを使う→自動診断

4. 証跡確認

  • ログとか取る
  • 再現が可能なのか確認する
  • 手動で確認

5. 報告書作成

  • どんな脆弱性があるのか
    • 危険度
    • 再現の仕方

6. 報告会開催

  • 報告書の詳細と相談

Zapの基本設定

モード

  • Safe Mode
  • Protected Mode
    • 原則では診断ができない状態になっている。
      • 一手間かかるゆえの安全
  • Standard Mode
  • ATTACK Mode

プロテクトモード以外は使うんじゃない!!

  • Standard Mode → 管理外のサイトの診断する → 危険性が高い