「 月別アーカイブ:2014年03月 」 一覧

GitHubに画像ファイルを保存してREADME.mdで表示する方法

2014/03/31   -Software, Web
 

GitHubのレポジトリページにはREADME.mdの内容が表示されますが、その中に画像を表示したい場合どうするのがよいでしょうか? GitHub上にその画像をアップロードして参照できれば、ローカルや …

OWASP ZAP のCSRF対策トークン自動生成処理は何をしているのか?

2014/03/30   -Software, WebSecurity
 ,

OWASP Zed Attack Proxy (ZAP)とは?でも紹介しているように、OWASP ZAPにはCSRF対策トークンを自動で生成してくれる機能があります。これは、自動検査中にパラメータとし …

OWASP ZAPのPassive Scan(受動的スキャン, 非破壊的スキャン)内部処理についてのメモ

2014/03/29   -Software, WebSecurity
 ,

OWASP ZAP v2.2.2 の Passive Scan 動作についてのメモです。 Passive Scan は extensionの1つとして実装されています。 主な関連パッケージ org.z …

GitHubで複数アカウントを使う場合のSSH configファイルの設定

2014/03/28   -Security, Software
 ,

GitHubにsshでアクセスする場合、使用する鍵ファイルをsshのconfigファイルに指定していると思います。GitHubの仕様上、複数のアカウントを使うと必然的にSSHの鍵もそれぞれ用意すること …

OWASP BWA上のMutillidae IIを最新版にする方法

OWASP BWA (v1.1.1)には脆弱性を持たせたWebアプリケーションが複数入っており、その中の1つに Mutillidae II があります。 このプリインストールされた Mutillida …

OWASP ZAP でファジングする方法

2014/03/14   -Software, WebSecurity
 ,

オープンソースの脆弱性検査ツールであるOWASP Zed Attack Proxy(ZAP)でファジングする方法について説明します。 (バージョン:v2.2.2) ファジングとは? IPAが公開して …

OWASP Zed Attack Proxy (ZAP)とは?

2014/03/09   -Software, WebSecurity
 , ,

オープンソースの脆弱性検査ツールであるOWASP Zed Attack Proxy(ZAP)について説明します。 概要 OWASP Zed Attack Proxy (ZAP)の公式サイトによると以 …

OWASP Zed Attack Proxy (ZAP)で脆弱性検査する方法

2014/03/09   -Software, WebSecurity
 ,

OWASP Zed Attack Proxy (ZAP)の使い方の例をいくつかメモします。各操作の細かい説明は別の記事で書くかもしれません。 ※ 本記事で使用するOWASP ZAPのバージョンは、2. …

ディレクトリ・トラバーサルとファイルインクルードとの違い

2014/03/07   -Software, WebSecurity
 

Webアプリケーションのセキュリティに関して、 ディレクトリ・トラバーサル ファイルインクルード という言葉があります。この2つ違いが分かりにくいと感じているので、その辺りについてメモしておきます。 …

DVWA (Damn Vulnerable Web Application)とは?

2014/03/07   -Software, WebSecurity
 ,

DVWA(Damn Vulnerable Web Application)の公式ドキュメントによる説明と、実際に使ってみて気付いた点についてまとめておきます。 ※ 公式ドキュメントはDVWAをダウンロ …


lathe