FC2ブログ

Home > スポンサー広告 > [調] 脆弱性の簡易チェック

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Comments:-

Comment Form

Home > スポンサー広告 > [調] 脆弱性の簡易チェック

Home > > [調] 脆弱性の簡易チェック

[調] 脆弱性の簡易チェック

  • 2015-02-14
自分で作成したWebサイトの脆弱性について、比較的簡易に
知りたいというときに使えるツールを探していたら、
OWASP ZAPというのが使えそうだったので使ってみた。
1.ローカルプロキシを設定
OWASP ZAPのローカルプロキシ設定をlocalhost:8080など、
好みのポート番号で設定。
攻撃元 --- localhost:8080 --- 攻撃先 (xx.yy.zz.ww:pppp)

ポート転送使っているときは番号重複するとダイアログで怒られる
ので、自分の環境にあわせて設定する。
攻撃元 --- localhost:8080 --- 攻撃先 (localhost:qqqq --- xx.yy.zz.ww:pppp)

これにあわせて、WEBサイトアクセス時のプロキシ設定を
インターネットオプションやブラウザの設定にて、
上記で設定した内容(ここではlocalhost:8080)に変更。

2.手動リクエスト
REST APIで公開している部分について、まずは疎通確認を
かねて手動リクエストでHTTPリクエストを飛ばしてみる。
ヘッダとボディを必要な分だけかいて実行。

ヘッダのところは、curlでverboseオプションつけて実行
してみると、コピペして使えると思われ。
ボディは送信先の仕様にあわせて適当にjsonとか
必要な中身を埋める。

3.履歴から攻撃
HTTPリクエストが手動でとおったら、OWASP ZAPの下部
にある履歴タブに出てくるので、ここで検査したいリクエスト
を選択して右クリックメニューから攻撃(たとえば動的スキャン)
を実行すれば、リクエスト送信先URLについて検査ができる

4.結果確認
下部にあるアラートのタブに結果が出てくるので確認する。

こんな感じで、検査に使えるようですね。
手軽に使ってみました、というレベルなので、ファジングなど
個々の機能をもうちょっと詳しく調べたいところ。
関連記事
スポンサーサイト

Comments:0

Comment Form

Home > > [調] 脆弱性の簡易チェック

Recent Comments
Recent Trackback
Search
Meta
Links
Feeds

Page Top

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。