「 月別アーカイブ:2014年04月 」 一覧

OWASP ZAP 2.3 自動認証機能の設定

2014/04/30   -Software, WebSecurity
 ,

OWASP ZAP v2.3における自動認証設定の手順を説明します。 自動認証(ログイン)機能とは、 認証機能を持つWebアプリケーションのログインが必要なページにアクセスした時に、 ログインしていな …

OWASP ZAP 2.3.0.1 でリクエストタブの表示フォーマットが変更できない場合の対処法

2014/04/29   -Software, WebSecurity
 ,

現在ダウンロードできるOWASP ZAP 2.3.0.1では、[リクエスト]タブ内のHeaderとBodyの表示フォーマットを選択するプルダウンがグレーになったままで切り替えることができないバグがあり …

OWASP ZAPの「Cross Site Scripting (Persistent)」(持続型クロスサイト・スクリプティング)診断は何をしているのか?

2014/04/26   -Software, WebSecurity
 ,

OWASP ZAP の Active Scanで実行される脆弱性診断に「Cross Site Scripting (Persistent)」という項目(別名 Stored XSS)があります。日本語だ …

同梱のJDKを使わずにMac版OWASP ZAP2.3を使う方法

2014/04/19   -Software, WebSecurity
 ,

OWASP ZAPのMac版はJDKが同梱されているためサイズが非常に大きくなっています。なぜ、Mac版だけこういうことになっているかについては、Issue 788 – zaproxy & …

Apache Struts2 の脆弱性対策について注意喚起されていました

2014/04/18   -Software, WebSecurity
 ,

IPAから「Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)」というページで Apache Struts2 の更新を呼びかけていました。 Apache …

Mac OS X上でのJavaの扱いについて

2014/04/17   -Software
 ,

OWASP ZAPもそうですが、セキュリティ関連のツールにはJavaで作られたものがわりと多いようです。クロスプラットフォームだし、必要なライブラリもまとめて配布するスタイル(?)なので使う側もラクで …

OWASP ZAPのSQLインジェクション診断は何をしているのか?

2014/04/16   -Software, WebSecurity
 ,

OWASP ZAPのActive Scanで行っている脆弱性診断にはいろいろな項目があります。ここでは、その中の1つである「SQLインジェクション」の診断が何をしているのか説明します。 対象としている …

Heartbleed検知スクリプトのバグについて

2014/04/15   -Software, WebSecurity
 ,

以下の記事を読みました。 Bugs in Heartbleed detection scripts. ちょうど昨日、Heartbleedの検知スクリプトをいくつか読んでブログまで書いたので非常に興味深 …

OpenSSLのHeartbleed脆弱性(CVE-2014-0160)で送信されるHeartbeat Request

2014/04/14   -Software, WebSecurity
 

この脆弱性で送信されるHeartbeat Requestについて調べてみました。 脆弱性自体については、例えば以下のサイトなどで詳しく説明されています。 OpenSSLの脆弱性(CVE-2014-01 …

OWASP ZAPのXSS(Cross-site scripting)診断は何をしているのか?

2014/04/12   -Software, WebSecurity
 ,

OWASP ZAPのActive Scanで行っている脆弱性診断にはいろいろな項目があります。ここでは、その中の1つである「XSS(Cross Site Scripting)」の診断が何をしているのか …


lathe