ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法

ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法

以前、OWASP ZAP に追加された attack mode の概要 というエントリを書きましたが、このATTACK modeを使った簡単なセキュリティ検査の手順をメモしておきます。この機能を使えば、ウェブアプリケーションの開発中にZAPが勝手に脆弱性スキャンしてくれます。 ※ この機能が追加され
Read more…

OWASP ZAP で送信されるリクエストに自動で独自ヘッダを追加する方法

OWASP ZAP で送信されるリクエストに自動で独自ヘッダを追加する方法

プロキシ設定したブラウザを手動操作した時、各スキャンを実行した時、Fuzzerを実行した時などに送信されるHTTPリクエストに独自ヘッダを追加する方法をメモしておきます。スクリプトを使う方法(今回の例では JavaScriptを使います)なのですが、この方法を知っていると他にもいろいろ応用が効きます
Read more…

OWASP ZAP の Scan Policy ダイアログボックスで設定を変更した時の挙動について

OWASP ZAP の Scan Policy ダイアログボックスで設定を変更した時の挙動について

OWASP ZAP では Scan Policy ダイアログボックスで、検査する脆弱性項目の設定を行います。下の画像がそのダイアログボックスです(Macです)。 気付いた人がいるかもしれませんが、[Cancel]ボタンが非活性になっています。これは私が何かしたわけではなくて最初からこうなっています。
Read more…