サイト内検索

セキュリティとは何だったのか #脆弱性診断 研究会

お疲れ様です、野村です。

本日の議題

そもそも脆弱性に対する意識がいまだに上がらない

脆弱性診断でいっつもいっつも同じことを言っている…

SQLインジェクション
XSS攻撃
CSRF攻撃

エンジニア側で改修をしたいが…?

  • セキュアコーディングの意識はない?
  • そもそもそんな時間がない
    • もっと楽にならないか?

OWASP ZAP

OWASP Japanでドキュメントが公開されている。

使う時に注意

自分の管理下のサービスに対して攻撃を実施する。
管理下で外部サービス(URLなど)を攻撃した場合、Banされる可能性も憂慮すること

設定の仕方

まずはfirefoxに。chromeだとちょっと大変。
[(access failed) http://qiita.com/nilfigo/items/c8b5e8321e63531640a9]

それとアドオンを入れます。
foxyproxy standard
フォキシープロキシースタンダード、読みにくいですね…

手順(この通りにやってください)

  1. Firefoxにfoxy proxy standardを入れる
  2. OWASP ZAPでプロキシを立てる
    (ただしプロテクトモード、危ないので)
  3. Firefoxのプロキシ設定を変更
  4. FoxyProxyの設定(ブラウザの設定を優先する)
基本的にこれで使えます。

細かい設定

本当に細かいです。
全部画像にブン投げたので、そっちで確認して追っていってください。
逆にいうと、画像だけで出来るようにしてます。

(後程出します)

やってみた感じ

ビックリするぐらい簡単です。
起こしたアクションに対して、例えばAjaxとか非同期通信やってるところがあるならテスト区分が違うので再現できませんが、サーバーへのリクエスト関連であればほとんど出来ちゃいます。
ツールも色々あるので、細かいのは自分で使って覚えてね、というのは何でもそうなんですが、それでも「こういう存在がある」というのは大変ありがたい!

取捨選択は当然ありますが…まずは知見を広げていくのは大事だと思います。
掲題の通り、まずはベースとなるセキュリティを知らないとダメなので、この機会に色々再履修するのはアリだと思います。
OK キャンセル 確認 その他