IPA ウェブ健康診断仕様を使ったWebアプリ脆弱性検査(XSS編)

IPA ウェブ健康診断仕様を使ったWebアプリ脆弱性検査(XSS編)

IPAが公開しているウェブ健康診断仕様の中にあるXSS(クロスサイト・スクリプティング)の診断をやってみます。 ウェブ健康診断については、以前の記事 IPA ウェブ健康診断仕様とは?で説明しています。 診断内容 ウェブ健康診断仕様.pdf より抜粋 診断する環境 クライアントOS:OS X ブラウザ
Read more…

IPA ウェブ健康診断仕様を使ったWebアプリ脆弱性検査(SQLインジェクション編)

IPA ウェブ健康診断仕様を使ったWebアプリ脆弱性検査(SQLインジェクション編)

IPAが公開しているウェブ健康診断仕様の中にあるSQLインジェクションの診断をやってみます。 (ウェブ健康診断については、以前の記事 IPA ウェブ健康診断仕様とは?で説明しています) 診断内容 ウェブ健康診断仕様.pdf より抜粋 診断する環境 クライアントOS:OS X ブラウザ:Firefox
Read more…

IPA ウェブ健康診断仕様とは?

IPA ウェブ健康診断仕様とは?

Webアプリケーションの脆弱性を診断したい場合に、出発点として使える資料をIPA 情報処理推進機構が公開しています。「安全なウェブサイトの作り方」とともに公開されている「ウェブ健康診断仕様」という資料です。 以下のリンク先からダウンロードできます。 IPA 独立行政法人 情報処理推進機構:安全なウェ
Read more…

OWASP ZAPの[エンコード/デコード/ハッシュ]ツール

OWASP ZAPの[エンコード/デコード/ハッシュ]ツール

OWASP ZAP には、任意の文字列に対して各種のエンコード/デコード/ハッシュ処理した結果を表示してくれるツールが付属しています。今回はこのツールについて説明します。 ツールの起動(ダイアログボックスの表示) [ツール]メニュー -> [エンコード/デコード/ハッシュ…] を選択します。
Read more…

OWASP ZAPをデバッグする方法

OWASP ZAPをデバッグする方法

前回に引き続き OWASP ZAPです。OWASP ZAPはオープンソースであるため、動作におかしいところがあったり、内部でどんな処理をしているのか知りたい時にはソースレベルで調査することができます。その場合、単純にソースコードを眺めてもいいのですが、IDEを使ってデバッグできると心強いでしょう。そ
Read more…

ブラウザからのリクエストをOWASP ZAPで保留し、編集してからWebサーバに送信する方法

ブラウザからのリクエストをOWASP ZAPで保留し、編集してからWebサーバに送信する方法

前回の記事(Webアプリ脆弱性調査のためのプロキシツール選定)で、OWASP ZAPを取り上げました。今回はこのツールを使って実際にブラウザから受け取ったリクエストを一旦保留し、編集してからWebサーバに送信する手順を説明します。 方法は2つあります。保留の対象とするURLを事前に登録しておく方法と
Read more…

Webアプリ脆弱性調査のためのプロキシツール選定

Webアプリ脆弱性調査のためのプロキシツール選定

Webアプリケーションの脆弱性調査に使用するツールにはいろいろな種類があります。ここでは、ツール自体がプロキシとなってブラウザからのリクエストを受け取り、その中身を見たり編集したりした後、Webサーバにそのリクエストを送信することができるツールについて取り上げます。この機能を実装しているツールはいろ
Read more…