読者です 読者をやめる 読者になる 読者になる

ありがとう。また会おう。

まぁゆるりとやっていきますよと。

2017-03-25 脆弱性ええんやでルーキーズ

security-testing.doorkeeper.jp

脆弱性ええんやで、は3度めの参戦。
今回は時間も長かったこともあって、
OWASP ZAPの基本的な使い方の部分をしっかり学べたのでよかった。

いつものごとく、memo

最初に設定しておいたほうがいい項目

■基本設定
 セーフモード
 プロテクトモード★ これに切り替えること!
 標準モード(これがデフォルト)
 ATTACKモード

 ※標準モードだと管理外サイトに診断が走ってしまう可能性があるため


■オプション
 ローカル・プロキシ
  Address
  ポート :他サービスとかぶらないよう、5桁のがお勧め
 スパイダー(クローリング)
  Maximum depth to crawl:
   スパイダーをすすめる階層の深さ。サイトの作りによって決めましょう
  並列スキャンスレッド数
   大きくすれば早くなるがマシン負荷かかる
   通常は1で大丈夫なはず
   ※逆に遅延させることはできない
    やるならfiddler噛ませて遅延させる
  他の設定はとりあえずデフォルトで大丈夫
 動的スキャン
  並列スキャンするホスト数:1にしておくことお勧め
  並列スキャンスレッド数
   大きくすれば早くなるがマシン負荷かかる
   通常は1で大丈夫なはず
  スキャン中のミリ秒単位の遅延(最大1000ms)
   サイトに負荷かけすぎないよう、遅めが良い
 ネットワーク
  「外部プロキシサーバ利用」のチェックは外す
   この設定を使うのは、ZAPを通った後の通信先にプロキシ通す場合。
   会社のプロキシとか、Fiddlerかます時とか

■ポリシー
 スキャンポリシー

■アドオン
 インストール
 アップデート
  ヘルプ→アップデートのチェック
  マーケットプレイス
   PortScannerは入れないほうが良い 上級者向け
   ActiveScannerRuleとPassiveScannerRuleはお勧め

起動時に出る「ZAPセッションの保存方法」
ZAPセッション:ZAPを通過した通信を保存するデータベースのこと
 「指定した場所と名前で保存」を選択
 「次回から表示しない」を選択してしまった場合の変更方法は
 オプション→データベースにある

Firefox
 FoxyProxyを使う場合はFirefoxのプロキシ設定は「プロキシを使用しない」にしておく ポート番号はZAPの設定と同じにする

スパイダーを始めるには
左側のツリーを右クリック
 Include TO Context >規定のコンテキスト
  コンテキストとは、その診断で対象となるドメインのこと
 でてきたダイアログはそのままOK
 ツリーのフォルダアイコンが赤い丸がつけばOK。スパイダー/診断対象となる
もういちど右クリック>攻撃>スパイダー


■LT
設計段階からセキュリティや運用を考慮
最近出た脆弱性はほぼアップデートで解決可能
運用上アップデートできる体制にする
EOLにならないような製品選択(LTS)

構築しながらの脆弱性検査

~~~~~

あと、最近みんなこの話題に触れるw

blogs.itmedia.co.jp

僕も該当するんで気をつけます^^;