2017-03-25 脆弱性ええんやでルーキーズ
security-testing.doorkeeper.jp
脆弱性ええんやで、は3度めの参戦。
今回は時間も長かったこともあって、
OWASP ZAPの基本的な使い方の部分をしっかり学べたのでよかった。
いつものごとく、memo
最初に設定しておいたほうがいい項目
■基本設定
セーフモード
プロテクトモード★ これに切り替えること!
標準モード(これがデフォルト)
ATTACKモード
※標準モードだと管理外サイトに診断が走ってしまう可能性があるため
■オプション
ローカル・プロキシ
Address
ポート :他サービスとかぶらないよう、5桁のがお勧め
スパイダー(クローリング)
Maximum depth to crawl:
スパイダーをすすめる階層の深さ。サイトの作りによって決めましょう
並列スキャンスレッド数
大きくすれば早くなるがマシン負荷かかる
通常は1で大丈夫なはず
※逆に遅延させることはできない
やるならfiddler噛ませて遅延させる
他の設定はとりあえずデフォルトで大丈夫
動的スキャン
並列スキャンするホスト数:1にしておくことお勧め
並列スキャンスレッド数
大きくすれば早くなるがマシン負荷かかる
通常は1で大丈夫なはず
スキャン中のミリ秒単位の遅延(最大1000ms)
サイトに負荷かけすぎないよう、遅めが良い
ネットワーク
「外部プロキシサーバ利用」のチェックは外す
この設定を使うのは、ZAPを通った後の通信先にプロキシ通す場合。
会社のプロキシとか、Fiddlerかます時とか
■ポリシー
スキャンポリシー
■アドオン
インストール
アップデート
ヘルプ→アップデートのチェック
マーケットプレイス
PortScannerは入れないほうが良い 上級者向け
ActiveScannerRuleとPassiveScannerRuleはお勧め
起動時に出る「ZAPセッションの保存方法」
ZAPセッション:ZAPを通過した通信を保存するデータベースのこと
「指定した場所と名前で保存」を選択
「次回から表示しない」を選択してしまった場合の変更方法は
オプション→データベースにある
Firefox
FoxyProxyを使う場合はFirefoxのプロキシ設定は「プロキシを使用しない」にしておく ポート番号はZAPの設定と同じにする
スパイダーを始めるには
左側のツリーを右クリック
Include TO Context >規定のコンテキスト
コンテキストとは、その診断で対象となるドメインのこと
でてきたダイアログはそのままOK
ツリーのフォルダアイコンが赤い丸がつけばOK。スパイダー/診断対象となる
もういちど右クリック>攻撃>スパイダー
■LT
設計段階からセキュリティや運用を考慮
最近出た脆弱性はほぼアップデートで解決可能
運用上アップデートできる体制にする
EOLにならないような製品選択(LTS)
構築しながらの脆弱性検査
~~~~~
あと、最近みんなこの話題に触れるw
僕も該当するんで気をつけます^^;