脆弱性診断ええんやで行ったメモ -実際にOWASP ZAPしてみる-

プロキシ

設定

  • ローカル・プロキシ Tools->Options...->Local Proxyで設定

    設定したらOKを押す。

FoxyProxy

ブラウザでプロキシ設定をいじるツール。

FoxyProxyの罠

  • FoxyProxyを使っているタイミングで、ブラウザ側のプロキシ設定をいじってはいけない

Contextの設定

1. コンテキストの設定

左のツリーにあるターゲットのURLを右クリック ->Default Context->Include in Context->OK

2. コンテキストを確認する

左のツリーにあるターゲットのURLの右に赤丸がついていることを確認。


Spider

クローラとかスクレイピングとか言う。 WEBサイトの構成を探す。

リンクやアクション先にあるものを探す。

設定

Tools->Options...->Spiderで設定

  • Maximum depth to crawl: どこまで深堀するか決める
    • 深くすると負荷がかかる
    • 無限に深くなるサイトとかだとひどいことになる
  • Number of threads used: いくつスレッドを並列するか
    • 多いほうが理論上は早く終わる
      • 現実的に早く終わるとは言ってない←
    • 多いほうがサーバにもクライアントにも負荷がかかる

実行する

1. Spider

左のツリーにあるターゲットのURLを右クリック -> Attack->Spider

以下の項目を設定し

  • recurse
    • 再帰的にアクセスする
  • spider substree only
    • 指定されたパスのより深いディレクトリしか見ない設定
  • Maximum duration
    • 何時間実行したいとかの設定ができる

Start Scanをポチッとな!

2. 解析

  • Seed
  • User Rules
    • ルールによって弾かれたもの
  • OutOfContext
    • コンテキスト外(診断不可)

アドオンのインストール

1. MarketPlaceに行く

Help->Check for Updates.../MarketPlaceをポチ。

2. インストール

ここから必要なものの右のチェックボックスをポチって、Install Selected

これらは上のほうが安全である

  • Release
  • Beta
  • Alpha
    • 入れるだけでZAPが死ぬ可能性あり

動的スキャン

攻撃の種類は2つ

Active Scan

  • 実際の攻撃
  • サーバにやばそうな文字列等を送る
  • すでにZAPではAlertとして出力されている。

Passive Scan

  • 普通にアクセスした結果から、脆弱性を見つける
  • 攻撃ではない

動的スキャン

スキャンポリシーとは

どのような攻撃をスキャンをするのかを決めるやつ。

スキャンポリシーの設定

1. Active Scanの設定

Tools->Active Scan で設定 * Delay when scanning in milliseconds: リクエストを飛ばす間隔

2. Scan Policyの設定

a.

Analyze->Scan Policy Managerを開く。 その後好きなScan Policyを選び、modifyを押す。

b.

Thresholdをすべて、OFFにする

c.

Injectionに移動し、Cross Site Scriptingをすべて、ONにする

3. 攻撃

好きなURL->Attack->Active Scan をして、Start Scan!


メモ

Firefoxはいいぞ

  • Firefoxはデフォルトで、XSSを防ぐ機能が入ってない
    • XSSを見つけやすい
  • OSのプロキシ設定に依存しない