「 OWASP 」 一覧

OWASP ZAPのフィルタ機能についてのメモ

2014/12/01   -WebSecurity
 ,

29日に行われた OWASP DAY というイベントの中で Proxy War というプレゼンがあったようで、スライドが公開されていました。この中では Fiddler, BurpSuite, OWAS …

やられWebアプリケーションの一覧

2014/11/26   -WebSecurity
 

意図的に脆弱性を持たせたWebアプリケーション(通称 やられWebアプリケーション?)の一覧をメモ OWASP Vulnerable Web Applications Directory Projec …

OWASP ZAP の PHP client API を作りました

2014/05/30   -Software, WebSecurity
 ,

なかったので作ってみました。 GitHubには、2つのリポジトリを追加しました。 PHP client API for OWASP ZAP APIとなるPHPクラスファイルを、Composer で使え …

OWASP BWAを使って気楽にModSecurityを試す方法

OWASP BWAにはModSecurityが最初から導入されています。簡単に有効/無効の切り替えができるので、ModSecurityがどんな動きをするのかちょっと見てみる場合に便利です。 OWASP …

OWASP ZAP スキャンポリシーの検査項目一覧(Release版)

2014/05/03   -Software, WebSecurity
 ,

スキャンポリシーで選択できる各検査項目(Release品質の項目のみ)の一覧と、やっている検査処理の簡単な説明です。 脆弱性を自動診断して何らかの脆弱性が報告された場合、本当にその脆弱性が存在するのか …

OWASP ZAP の Persist session と Snapshot session について

2014/05/02   -Software, WebSecurity
 ,

OWASP ZAPで収集した(セッション)データについて 通常、ZAPで収集したセッションデータは、以下のユーザディレクトリ直下のsessionディレクトリに保存されます。 Windows ホームディ …

OWASP ZAP 2.3 自動認証機能の設定

2014/04/30   -Software, WebSecurity
 ,

OWASP ZAP v2.3における自動認証設定の手順を説明します。 自動認証(ログイン)機能とは、 認証機能を持つWebアプリケーションのログインが必要なページにアクセスした時に、 ログインしていな …

OWASP ZAP 2.3.0.1 でリクエストタブの表示フォーマットが変更できない場合の対処法

2014/04/29   -Software, WebSecurity
 ,

現在ダウンロードできるOWASP ZAP 2.3.0.1では、[リクエスト]タブ内のHeaderとBodyの表示フォーマットを選択するプルダウンがグレーになったままで切り替えることができないバグがあり …

OWASP ZAPの「Cross Site Scripting (Persistent)」(持続型クロスサイト・スクリプティング)診断は何をしているのか?

2014/04/26   -Software, WebSecurity
 ,

OWASP ZAP の Active Scanで実行される脆弱性診断に「Cross Site Scripting (Persistent)」という項目(別名 Stored XSS)があります。日本語だ …

同梱のJDKを使わずにMac版OWASP ZAP2.3を使う方法

2014/04/19   -Software, WebSecurity
 ,

OWASP ZAPのMac版はJDKが同梱されているためサイズが非常に大きくなっています。なぜ、Mac版だけこういうことになっているかについては、Issue 788 – zaproxy & …


lathe