OWASP ZAP スキャンポリシーの検査項目一覧(Release版)

OWASP ZAP スキャンポリシーの検査項目一覧(Release版)

スキャンポリシーで選択できる各検査項目(Release品質の項目のみ)の一覧と、やっている検査処理の簡単な説明です。 脆弱性を自動診断して何らかの脆弱性が報告された場合、本当にその脆弱性が存在するのか調査すると思いますが、どういう診断処理が行われたのかが分かっていないと、非効率な調査しかできません。
Read more…

OWASP ZAP 2.3 自動認証機能の設定

OWASP ZAP 2.3 自動認証機能の設定

OWASP ZAP v2.3における自動認証設定の手順を説明します。 自動認証(ログイン)機能とは、 認証機能を持つWebアプリケーションのログインが必要なページにアクセスした時に、 ログインしていないことを検知し、 ログインしていなければ、内部でログインアクセスしてログイン状態にしてくれ、 その状
Read more…

OWASP ZAP 2.3.0.1 でリクエストタブの表示フォーマットが変更できない場合の対処法

OWASP ZAP 2.3.0.1 でリクエストタブの表示フォーマットが変更できない場合の対処法

現在ダウンロードできるOWASP ZAP 2.3.0.1では、[リクエスト]タブ内のHeaderとBodyの表示フォーマットを選択するプルダウンがグレーになったままで切り替えることができないバグがあります(発生しない環境・条件があるかもしれませんが)。本来であればリクエストデータ内のHeader/B
Read more…

OWASP ZAPの「Cross Site Scripting (Persistent)」(持続型クロスサイト・スクリプティング)診断は何をしているのか?

OWASP ZAPの「Cross Site Scripting (Persistent)」(持続型クロスサイト・スクリプティング)診断は何をしているのか?

OWASP ZAP の Active Scanで実行される脆弱性診断に「Cross Site Scripting (Persistent)」という項目(別名 Stored XSS)があります。日本語だと持続型(格納型)クロスサイト・スクリプティングです。この項目はバージョン 2.2ではbeta扱いだ
Read more…