スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

[調] 脆弱性の簡易チェック

自分で作成したWebサイトの脆弱性について、比較的簡易に
知りたいというときに使えるツールを探していたら、
OWASP ZAPというのが使えそうだったので使ってみた。
1.ローカルプロキシを設定
OWASP ZAPのローカルプロキシ設定をlocalhost:8080など、
好みのポート番号で設定。
攻撃元 --- localhost:8080 --- 攻撃先 (xx.yy.zz.ww:pppp)

ポート転送使っているときは番号重複するとダイアログで怒られる
ので、自分の環境にあわせて設定する。
攻撃元 --- localhost:8080 --- 攻撃先 (localhost:qqqq --- xx.yy.zz.ww:pppp)

これにあわせて、WEBサイトアクセス時のプロキシ設定を
インターネットオプションやブラウザの設定にて、
上記で設定した内容(ここではlocalhost:8080)に変更。

2.手動リクエスト
REST APIで公開している部分について、まずは疎通確認を
かねて手動リクエストでHTTPリクエストを飛ばしてみる。
ヘッダとボディを必要な分だけかいて実行。

ヘッダのところは、curlでverboseオプションつけて実行
してみると、コピペして使えると思われ。
ボディは送信先の仕様にあわせて適当にjsonとか
必要な中身を埋める。

3.履歴から攻撃
HTTPリクエストが手動でとおったら、OWASP ZAPの下部
にある履歴タブに出てくるので、ここで検査したいリクエスト
を選択して右クリックメニューから攻撃(たとえば動的スキャン)
を実行すれば、リクエスト送信先URLについて検査ができる

4.結果確認
下部にあるアラートのタブに結果が出てくるので確認する。

こんな感じで、検査に使えるようですね。
手軽に使ってみました、というレベルなので、ファジングなど
個々の機能をもうちょっと詳しく調べたいところ。
関連記事
スポンサーサイト

コメントの投稿

非公開コメント

プロフィール

kr2

Author:kr2
ネコと音楽が好き。
CD紹介、技術ネタ
などの雑記帳。

カレンダー
10 | 2017/11 | 12
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -
月別アーカイブ
カテゴリー
ブログ内検索
RSSフィード
最近の記事
最近のコメント
最近のトラックバック
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。