備忘録/にわかエンジニアが好きなように書く

個人的にとりあえず仕組みを知るために、触りたように好きにとりあえず動くような構築してみる 個人用の備忘録となるので内容の保証はないのでその点はご了承ください。 ※変な内容や間違いを書いているなどありましたらコメントやご指摘いただけると幸いです。

ZAP

OWASP ZAP2.7でzap-API を使ってSpiderの実行

概要 構成 ZAPのAPIによる操作 スパイダー実施用API作成 ZAPの起動 クライアントからブラウザでAPI(UI)にアクセス API用URLの取得 Spider実施用URL作成 モード指定 テストモード設定(protect) context Context作成 SCAN対象URLをContextに追加 Contextの確認…

OWASP ZAP2.7でzap-cli+context を使ってScan実行

概要 1.contextの作成準備(zapのGUIを使用) ブラウザにプロキシとして設定する Scan用サイトへアクセス(ZAP Proxy機能を経由) Scan用サイトへログイン(Authentication設定用) ログイン後画面 2.ZAP(GUI)でcontext作成 アクセス履歴確認 Scan対象URLをコンテ…

OWASP ZAP2.7でzap-cliを使ってScan実行

構成 やりたいこと ■実施概要 (参考)ZAP-CLIコマンドオプション (参考)ZAP-CLI(SCAN関連)コマンドオプション (参考)ZAP-CLI(Log/report関連)コマンドオプション Scanの実行結果 zap-cli確認 構成 やりたいこと zap-cli を使用して、zapbaselineみたいなScan…

OWASP ZAP2.7(baseline)でのレポート出力

OWASP ZAP2.7(baseline)でのレポート出力 結果としてはレポート出力は可能だったが、Dockerコンテナ内のユーザや所有権と実行ホストのユーザとの関係について知識不足だった。 知識や理解がないため、もっと良い実施方法はありそうです。 OWASP ZAP2.7(basel…

OWASP ZAP2.7(Docker Image) ZAP-Baseline-Scanを実行できた

OWASP ZAP2.7 / ZAP-Baseline-Scanを実行 以前のバージョンZAP2.6のdockerイメージでは実行できなかったZAP-Baseline-Scanを、 ZAP2.7がリリースされたので実施するとZAP2.7では実施できたから修正される。 www.n-novice.com OWASP ZAP2.7 / ZAP-Baseline-Sc…

OWASP ZAP2.7(Windows)インストール

ZAP2.7での機能追加/修正情報について リリース情報 OWASP ZAP2.7インストール インストール前の注意 1.ZAPのダウンロード 2.インストーラ実行 3.セットアップ開始 4.ライセンス契約 5.インストール形式の選択 6.インストール先の選択 7.プロ…

OWASP ZAP2.6(Docker Image) ZAP-Baseline-Scanが実行できず。

OWASP ZAP2.6 / ZAP-Baseline-Scanを実行 ※ZAP-stable2.6では実行できないが、ZAP-stable2.7で修正され実行可能となっています。 OWASP ZAP2.6 / ZAP-Baseline-Scanを実行 構成 実施方法 実行結果 1.CLIでZAP IMAGE確認 2.実行 2-1.zap2docker-stable →エラ…

OWASP ZAP( DockerCE)のインストール

OWASP ZAP( DockerCE)のインストール 目次 環境作成 DockerCEインストール 1.古いバージョンをアンインストールする 2.リポジトリを使用してインストールする 2-1.必要なパッケージをインストールします。 2-2.リポジトリを追加します。 2-3.リポジトリを有…

OWASP Zed Attack Proxy (ZAP)で脆弱性検査メモ

OWASP Zed Attack Proxy (ZAP)で脆弱性検査 実施項目 ~~ 管理下のホストに対して実施すること ~~ 実施項目 確認構成 実施内容 1.ローカルプロキシとしてWebサーバとの通信内容を静的スキャナ 2.簡易的な脆弱性検査を実施 静的スキャナ スパイダー AJ…