備忘録/にわかエンジニアが好きなように書く

個人的にとりあえず仕組みを知るためにとりあえず動くまで構築や動作をみただけの単なる操作ログです。個人用の備忘録となり、最新の導入手順は個別に確認してください。 ※変な内容や間違いを書いているなどありましたらコメントやご指摘いただけると幸いです。

脆弱性

各製品ベンダ毎の脆弱性・バグ情報の収集用リンク集

※公的機関やSIerが独自で公表している脆弱性/バグ情報のリンク情報は含めていません Cisco Systems Cisco Security Advisories and Alerts Bug Search Tool※要Ciscoアカウント Field Notice 新着情報 日本語版 英語版 Juniper Networks Security Advisories …

OWASP ZAP診断結果レポートをFaradayで確認②(CLIコマンドからのreport追加)

環境 構成 事前準備 reportをインポート 1.レポートを保存 2.reportの読み込み Faraday Dashboard確認(インポート後) 環境 VMware ESXi 6.5 ホストに仮想マシンを作成してインストール。 ・Ubuntu 16.04.3 - FaradayServer と FaradayClient は起動済みとす…

OWASP ZAP診断結果レポートをFaradayで確認①

環境 構成 事前準備 Faraday Dashboard確認(インポート前) Faraday Clientの起動 ZAPレポートをFaradayへ転送 reportをインポート Faraday Dashboard確認(インポート後) 環境 VMware ESXi 6.5 ホストに仮想マシンを作成してインストール。 ・Ubuntu 16.04.3 …

Faraday ServerとClientのパッケージでの導入と起動まで

Faradayについて 環境 事前確認 Faladayインストール ユーザ作成 ユーザーアカウント作成 ユーザ変更 各種パッケージインストール Faraday(Server)インストール Gitクローン取得 サーバーのPython要件確認 Python要件で必要なパッケージインストール Python …

OWASP ZAP2.7でzap-API を使ってSpiderの実行

概要 構成 ZAPのAPIによる操作 スパイダー実施用API作成 ZAPの起動 クライアントからブラウザでAPI(UI)にアクセス API用URLの取得 Spider実施用URL作成 モード指定 テストモード設定(protect) context Context作成 SCAN対象URLをContextに追加 Contextの確認…

OWASP ZAP2.7でzap-cli+context を使ってScan実行

概要 1.contextの作成準備(zapのGUIを使用) ブラウザにプロキシとして設定する Scan用サイトへアクセス(ZAP Proxy機能を経由) Scan用サイトへログイン(Authentication設定用) ログイン後画面 2.ZAP(GUI)でcontext作成 アクセス履歴確認 Scan対象URLをコンテ…

OWASP ZAP2.7でzap-cliを使ってScan実行

構成 やりたいこと ■実施概要 (参考)ZAP-CLIコマンドオプション (参考)ZAP-CLI(SCAN関連)コマンドオプション (参考)ZAP-CLI(Log/report関連)コマンドオプション Scanの実行結果 zap-cli確認 構成 やりたいこと zap-cli を使用して、zapbaselineみたいなScan…

Vulsの結果をレポート(vulsrepo)de表示

vulsrepo VulsRepoはvulsのレポート出力に基づいて可視化され、Webブラウザから結果の確認してみる。 vulsrepo 参考 構成 実施 ■ VulsRepoの起動 ■起動確認 ■ Webブラウザでアクセスする Webブラウザでの表示 ■Webブラウザでのイメージ ■Webブラウザでの操作…

Docker用Vulsを使用した動作確認

構成 実施したいこと 参考先(vulsインストール) 事前準備(SCAN対象ホスト) SSHでKYEを使用したログイン可能とする 実行対象へのパッケージ追加 ■yum-utilsの追加 実施 Vuls用ディレクトリ移動 各dockerイメージを取得 ■go-cve-dictionary ■ goval-dictionary…

OWASP ZAP2.7(Docker Image) ZAP-Baseline-Scanを実行できた

OWASP ZAP2.7 / ZAP-Baseline-Scanを実行 以前のバージョンZAP2.6のdockerイメージでは実行できなかったZAP-Baseline-Scanを、 ZAP2.7がリリースされたので実施するとZAP2.7では実施できたから修正される。 www.n-novice.com OWASP ZAP2.7 / ZAP-Baseline-Sc…

OWASP ZAP2.6(Docker Image) ZAP-Baseline-Scanが実行できず。

OWASP ZAP2.6 / ZAP-Baseline-Scanを実行 ※ZAP-stable2.6では実行できないが、ZAP-stable2.7で修正され実行可能となっています。 OWASP ZAP2.6 / ZAP-Baseline-Scanを実行 構成 実施方法 実行結果 1.CLIでZAP IMAGE確認 2.実行 2-1.zap2docker-stable →エラ…

OWASP ZAP( DockerCE)のインストール

OWASP ZAP( DockerCE)のインストール 目次 環境作成 DockerCEインストール 1.古いバージョンをアンインストールする 2.リポジトリを使用してインストールする 2-1.必要なパッケージをインストールします。 2-2.リポジトリを追加します。 2-3.リポジトリを有…

OWASP Zed Attack Proxy (ZAP)で脆弱性検査メモ

OWASP Zed Attack Proxy (ZAP)で脆弱性検査 実施項目 ~~ 管理下のホストに対して実施すること ~~ 実施項目 確認構成 実施内容 1.ローカルプロキシとしてWebサーバとの通信内容を静的スキャナ 2.簡易的な脆弱性検査を実施 静的スキャナ スパイダー AJ…