OWASP ZAPとは 人気・最新記事を集めました - はてな
Hatena Blog Tags
はてなブログ トップ
OWASP ZAP
このタグでブログを書く
言葉の解説
ネットで話題
関連ブログ

OWASP ZAP

このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。
土日の勉強ノート3ヶ月前

OWASP ZAPの自動スキャン結果の分析と対策:リスク中すべて

「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 前回は、以前 に行った OWASP ZAP の自動脆弱性スキャンの結果の「オープンリダイレクト」について、分析と対策までやりました。 今回は、リスク中の内容を見ていきます。 それでは、やっていきます。

#セキュリティ#徳丸本#脆弱性スキャン#OWASP ZAP#CSRF#Content-Security-Policy#X-Frame-Options#ディレクトリ・リスティング#ディレクトリブラウジング

関連ブログ

土日の勉強ノート3ヶ月前

OWASP ZAPの自動スキャン結果の分析と対策:オープンリダイレクト

「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 前回は、以前 に行った OWASP ZAP の自動脆弱性スキャンの結果の「SQLインジェクション」について、分析と対策までやりました。 今回は、オープンリダイレクトを見ていきます。 それでは、やっていきます。

#セキュリティ#徳丸本#脆弱性スキャン#OWASP ZAP#オープンリダイレクト
土日の勉強ノート3ヶ月前

OWASP ZAPの自動スキャン結果の分析と対策:SQLインジェクション

「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 前回は、以前 に行った OWASP ZAP の自動脆弱性スキャンの結果の「クロスサイトスクリプティング(XSS)」について、分析と対策までやりました。 今回は、SQLインジェクションを見ていきます。 それでは、やっていきます。

#セキュリティ#徳丸本#脆弱性スキャン#OWASP ZAP#SQLインジェクション
土日の勉強ノート3ヶ月前

OWASP ZAPの自動スキャン結果の分析と対策:クロスサイトスクリプティング(XSS)

「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 前回は、以前 に行った OWASP ZAP の自動脆弱性スキャンの結果の「パストラバーサル」について、分析と対策までやりました。 今回は、クロスサイトスクリプティング(XSS)を見ていきます。 それでは、やっていきます。 ※2024/8/16:全体を書き直し 当初の記事は、XSS(DOMベース)を勘違いしていたので、全面的に書き直しました。

#セキュリティ#徳丸本#脆弱性スキャン#OWASP ZAP#Burp Suite#XSS
土日の勉強ノート3ヶ月前

OWASP ZAPの自動スキャン結果の分析と対策:パストラバーサル

「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 前回 は、セッション管理の理解と、実際になりすましを試したのと、PHP のセッションID を URL に埋め込まない対策を行いました。 今回は、前々回 に行った OWASP ZAP の自動脆弱性スキャンの結果の「パストラバーサル」について、分析と可能なら対策までやっていきたいと思います。 それでは、やっていきます。

#セキュリティ#徳丸本#脆弱性スキャン#OWASP ZAP#Burp Suite#パストラバーサル
土日の勉強ノート3ヶ月前

徳丸本:OWASP ZAPの自動脆弱性スキャンをやってみる

「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 今回は、徳丸本の 7章の「脆弱性診断入門」の OWASP ZAP の自動脆弱性スキャンについて、実際にやっていきたいと思います。 それでは、やっていきます。

#セキュリティ#徳丸本#脆弱性スキャン#OWASP ZAP#ParrotOS
kazokmr's Blog2年前

OWASP ZAP でペネトレーションテストを学ぶ(後編)

これは何の記録か? 試したこと 試していないこと(いずれ試したい) OWASP ZAP を試してみた感想 準備 テスト対象Webアプリ クライアント環境のプロキシ設定 アプリケーションを探索する (Explore) 手動で探索する(Manual Explore) URLをContextで管理する 認証方法・セッション管理方法を設定する Authentication Method Authentication Verification Users Forced User セッション管理 URLを自動探索する Spider で探索する Ajax Spider で探索する Forced Browse…

#OWASP ZAP#ペネトレーションテスト
kazokmr's Blog2年前

OWASP ZAP でペネトレーションテストを学ぶ(前編)

これは何? 前職では、アプリケーションセキュリティテスト(AST)ツールの販売に関わっていて、SASTやSCAは詳しくなったが、DASTに関してはツールはもちろんテスト自体の知見もあまり身につけられていなかった。 そんな中、現職の年間目標の一つにDASTを取り入れることを挙げていたのと、開発中のWebアプリケーションの脆弱性診断を委託することになり、ペネトレーションテストを学びたいモチベーションが出てきたので、夏休みの宿題としてOWASP ZAPの使いながらベネトレーションテストの基本を学ぶことにした。 前編では座学としてZAPを使う前にペネトレーションテストについてOWASP ZAPの公式マ…

#OWASP ZAP#ペネトレーションテスト
EmotionTechテックブログ3年前

OWASP 脆弱性検査環境の構築と実施(2)- 設定と実行

前回で環境の構築と初期設定までを行いました。 今回は実際に脆弱性の検査を実施します。 さて、前回少し記述しましたがZAP自体はその名の通りProxyです。いわゆる「man-in-the-middle Proxy」という考え方のようです。 そのため、ブラウザをインタフェイスとして設定し、その後スタンドアローンで利用できます。デーモン利用も可能なようですがそれは後述します。 まずはクイックに脆弱検査してみる 起動後、アプリの更新などを終えるとこの画面になります。 起動直後の画面 この状態では当然何も設定されていない状態になります。 テスト段階ではまず 左上 「ファイル」メニューの下の選択メニューで…

#OWASP ZAP#脆弱性検査
土日の勉強ノート5日前

picoCTF 2023:Binary Exploitationの全7問をやってみた(最後の1問は後日やります)

前回 は、picoCTF の picoCTF 2023 の Reverse Engineering をやってみました。全7問でしたが、少し変わった問題が多かったです。 今回は、引き続き、picoCTF 2023 の Binary Exploitation をやっていきます。Medium が 4問、Hard が 3問です。難しそうです。 それでは、やっていきます。

叡智の三猿19日前

DAST(動的アプリケーション・セキュリティ・テスト):気になる情報セキュリティ用語

DAST(動的アプリケーション・セキュリティ・テスト)は、アプリケーションが実行中に外部からの攻撃をシミュレートして、セキュリティ脆弱性を検出する手法です。脆弱性を検出する別の方法であるSAST(静的アプリケーション・セキュリティ・テスト)と比較すると、以下のようになります。 アプローチ:SASTは静的にコードを解析するのに対し、DASTは実行中のアプリケーションを解析する。 視点:SASTは開発者の視点、DASTは攻撃者の視点でテストを行う。 検出可能な脆弱性:SASTはコードベースの問題を、DASTはランタイム環境での問題を検出する。 OWASP ZAP (Zed Attack Proxy…

介護とか経済とか(雑記版)21日前

Open Web Application Security Project(OWASP)とは?Webアプリケーションのセキュリティ対策を徹底解説!

はじめに Webアプリケーションのセキュリティは、現代において非常に重要な課題となっています。近年、大規模な情報漏洩事件が頻発しており、企業だけでなく個人もその影響を大きく受けています。 このような状況の中、**OWASP(Open Web Application Security Project)**は、Webアプリケーションのセキュリティに関する情報を共有し、より安全なWebアプリケーション開発を促進することを目的としたオープンソースコミュニティです。 本記事では、OWASPの概要、OWASP Top 10、そしてOWASPを活用したWebアプリケーションのセキュリティ対策について解説して…

土日の勉強ノート22日前

picoCTF 2023:Reverse Engineeringの全9問をやってみた

前回 は、picoCTF の picoCTF 2023 の General Skills をやってみました。全6問を全て解きました。 今回は、引き続き、picoCTF 2023 の Reverse Engineering をやっていきます。Medium が 7問、Hard が 2問です。 それでは、やっていきます。

土日の勉強ノート1ヶ月前

picoCTF 2023:General Skillsの全6問をやってみた

前回 は、picoCTF の picoCTF 2024 のうち、Cryptography をやってみました。全5問のうち、最後の 2問は解けませんでした。 今回から picoCTF の picoCTF 2023 をやっていきます。 最初は、General Skills の全6問をやっていきたいと思います。Easy が 1問、Medium が 5問です。 それでは、やっていきます。

雑記帳1ヶ月前

Fiddler Classicからmitmproxyに乗り換えた

経緯 Fiddler Classicが自身の端末で何故か動かなくなってしまったため。 また、Fiddler Anywhereはお金の都合上使えないため。 mitmproxy選んだ理由 無料:お金無いので… 簡単:そんな難しいキャプチャしないので 他のツールの検討 以下を選定したが、自分にはmitmproxyが合ってそうだったので Burp Suite Community Edition:自身には合わなかった OWASP ZAP:上記同じ理由 HTTPNetworkSniffer:古そう Charles Proxy:トライアル期間のみ無料 Proxifier:トライアル期間のみ無料 mitmpr…

土日の勉強ノート1ヶ月前

picoCTF 2024:Forensicsの全8問をやってみた(最後の2問は解けず)

前回 は、picoCTF の picoCTF 2024 のうち、Web Exploitation をやってみました。全6問のうち、最後の 2問は解けませんでした。 今回は、引き続き、picoCTF の picoCTF 2024 のうち、Forensics というカテゴリの全8問をやっていきたいと思います。Easy が 4問、Medium が 4問です。 それでは、やっていきます。

ozaki25’s diary1ヶ月前

「Postman API Night Tokyo 2024 Fall」に参加してきました

2024/10/15 https://postman.connpass.com/event/328772/ さくっと実践!Postmanを活用した高品質で持続可能なAPI管理 川崎 庸市さん(Postman) https://speakerdeck.com/yokawasa/sakututoshi-jian-postmanwohuo-yong-sitagao-pin-zhi-dechi-sok-ke-neng-naapiguan-li API管理 なぜAPI管理するか いいAPIを持続的に効果的に開発するため いいAPI 目的設計文脈が明確 柔軟性があって完全性がある すぐに理解できてドキュメ…

土日の勉強ノート1ヶ月前

picoCTF 2024:Web Exploitationの全6問をやってみた(最後の2問は解けず)

前回 は、picoCTF の picoCTF 2024 のうち、General Skills をやってみました。全10問を全部解けました。 今回は、引き続き、picoCTF の picoCTF 2024 のうち、Web Exploitation というカテゴリの全6問をやっていきたいと思います。Medium が 1問、Hard が 1問です。 それでは、やっていきます。

土日の勉強ノート1ヶ月前

picoCTF 2024:General Skillsの全10問をやってみた

前回 は、picoCTF の picoCTF 2024 のうち、Reverse Engineering をやってみました。全7問のうち、Windowsプログラム の 3問は後回しにしました。 今回は、引き続き、picoCTF の picoCTF 2024 のうち、General Skills というカテゴリの全10問をやっていきたいと思います。Medium が 2問です。 それでは、やっていきます。

土日の勉強ノート2ヶ月前

picoCTF 2024:Binary Exploitationの全10問をやってみた(Hardの1問は後日やります)

前回 は、picoCTF に登録して、picoGymの「Beginner picoMini 2022」の全13問をやってみました。 今回は、引き続き、picoCTF の picoCTF 2024 のうち、Binary Exploitation というカテゴリの全10問をやっていきたいと思います。Easy が 2問、Medium が 6問、Hard が 2問です。 それでは、やっていきます。

土日の勉強ノート2ヶ月前

picoCTFを始めてみた(Beginner picoMini 2022:全13問完了)

前回 は、サイバーセキュリティのトレーニングができるサイトを始めてみましたが、少し合わなかったかなって感じでした。 今回も、こりずに、picoCTF という CTF の学習や、コンテストを開催しているサイトがあるので、挑戦してみたいと思います。 それでは、やっていきます。 ※2024/10/3:追記 今回は、picoCTF の picoGym で、「Beginner picoMini 2022」の 全13問をやってみました。もし、これから「Beginner picoMini 2022」をやってみようと思う方にお知らせです。問題のタイトルに番号が付いてるものがあります(例:PW Crack 2)…

土日の勉強ノート2ヶ月前

TryHackMeを始めてみたけどハードルが高かった話

前回 は、「セキュリティコンテストチャレンジブック CTFで学ぼう!情報を守るための戦い方」の「付録」を読んで、x86 と x86-64 のシェルコードを作りました。また、setodaNote CTF Exhibition の Pwn の Shellcode問題で、作ったシェルコードを使って、フラグが取れました。 今回は、TryHackMe というサイバーセキュリティのトレーニングができるサイトがあるので、挑戦してみたいと思います。 それでは、やっていきます。