OWASP ZAP 2.3 自動認証機能の設定

OWASP ZAP 2.3 自動認証機能の設定

OWASP ZAP v2.3における自動認証設定の手順を説明します。 自動認証(ログイン)機能とは、 認証機能を持つWebアプリケーションのログインが必要なページにアクセスした時に、 ログインしていないことを検知し、 ログインしていなければ、内部でログインアクセスしてログイン状態にしてくれ、 その状
Read more…

OWASP ZAP 2.3.0.1 でリクエストタブの表示フォーマットが変更できない場合の対処法

OWASP ZAP 2.3.0.1 でリクエストタブの表示フォーマットが変更できない場合の対処法

現在ダウンロードできるOWASP ZAP 2.3.0.1では、[リクエスト]タブ内のHeaderとBodyの表示フォーマットを選択するプルダウンがグレーになったままで切り替えることができないバグがあります(発生しない環境・条件があるかもしれませんが)。本来であればリクエストデータ内のHeader/B
Read more…

OWASP ZAPの「Cross Site Scripting (Persistent)」(持続型クロスサイト・スクリプティング)診断は何をしているのか?

OWASP ZAPの「Cross Site Scripting (Persistent)」(持続型クロスサイト・スクリプティング)診断は何をしているのか?

OWASP ZAP の Active Scanで実行される脆弱性診断に「Cross Site Scripting (Persistent)」という項目(別名 Stored XSS)があります。日本語だと持続型(格納型)クロスサイト・スクリプティングです。この項目はバージョン 2.2ではbeta扱いだ
Read more…

Mac OS X上でのJavaの扱いについて

Mac OS X上でのJavaの扱いについて

OWASP ZAPもそうですが、セキュリティ関連のツールにはJavaで作られたものがわりと多いようです。クロスプラットフォームだし、必要なライブラリもまとめて配布するスタイル(?)なので使う側もラクです。以前自作したクローラ耐性診断ツールも、そういう状況に合わせてJavaで作りました。ただ Mac
Read more…

OWASP ZAPのSQLインジェクション診断は何をしているのか?

OWASP ZAPのSQLインジェクション診断は何をしているのか?

OWASP ZAPのActive Scanで行っている脆弱性診断にはいろいろな項目があります。ここでは、その中の1つである「SQLインジェクション」の診断が何をしているのか説明します。 対象としているOWASP ZAPのバージョンは 2.3です。 ZAP 2.3 が行うSQLインジェクション診断の種
Read more…