「 月別アーカイブ:2014年02月 」 一覧

IPA ウェブ健康診断仕様を使ったWebアプリ脆弱性検査(XSS編)

IPAが公開しているウェブ健康診断仕様の中にあるXSS(クロスサイト・スクリプティング)の診断をやってみます。 ウェブ健康診断については、以前の記事 IPA ウェブ健康診断仕様とは?で説明しています。 …

OWASP BWA上のDVWAを最新版にする方法

2014/02/27   -Software, WebSecurity
 , ,

OWASP BWA上で稼働しているWebアプリケーションの1つであるDVWA(Damn Vulnerable Web Application) についてです。 OWASP BWA上のDVWAは、単純に …

IPA ウェブ健康診断仕様を使ったWebアプリ脆弱性検査(SQLインジェクション編)

IPAが公開しているウェブ健康診断仕様の中にあるSQLインジェクションの診断をやってみます。 (ウェブ健康診断については、以前の記事 IPA ウェブ健康診断仕様とは?で説明しています) 診断内容 ウェ …

OWASP BWA (The Broken Web Applications) とは?

2014/02/23   -Software, WebSecurity
 , ,

概要 以前、練習用脆弱Webアプリケーションの調査 という記事でも取り上げましたが、OWASP BWA(The Broken Web Applications)は、意図的に脆弱性を持たせたWebアプリ …

Kali Linux とは?

2014/02/22   -Software, WebSecurity
 , ,

Kali Linux はペネトレーションテストに特化したLinuxディストリビューションです。Offensive Security社によって開発・メンテナンスされています。多くのペネトレーションテスト …

IPA ウェブ健康診断仕様とは?

Webアプリケーションの脆弱性を診断したい場合に、出発点として使える資料をIPA 情報処理推進機構が公開しています。「安全なウェブサイトの作り方」とともに公開されている「ウェブ健康診断仕様」という資料 …

OWASP ZAPの[エンコード/デコード/ハッシュ]ツール

2014/02/17   -Software, WebSecurity
 ,

OWASP ZAP には、任意の文字列に対して各種のエンコード/デコード/ハッシュ処理した結果を表示してくれるツールが付属しています。今回はこのツールについて説明します。 ツールの起動(ダイアログボッ …

OWASP ZAPをデバッグする方法

2014/02/16   -Software, WebSecurity
 ,

前回に引き続き OWASP ZAPです。OWASP ZAPはオープンソースであるため、動作におかしいところがあったり、内部でどんな処理をしているのか知りたい時にはソースレベルで調査することができます。 …

ブラウザからのリクエストをOWASP ZAPで保留し、編集してからWebサーバに送信する方法

2014/02/13   -Software, WebSecurity
 ,

前回の記事(Webアプリ脆弱性調査のためのプロキシツール選定)で、OWASP ZAPを取り上げました。今回はこのツールを使って実際にブラウザから受け取ったリクエストを一旦保留し、編集してからWebサー …

Webアプリ脆弱性調査のためのプロキシツール選定

2014/02/10   -Software, WebSecurity
 ,

Webアプリケーションの脆弱性調査に使用するツールにはいろいろな種類があります。ここでは、ツール自体がプロキシとなってブラウザからのリクエストを受け取り、その中身を見たり編集したりした後、Webサーバ …


lathe