OWASP Zed Attack Proxy(略称ZAP)は、Webアプリケーションの脆弱性を診断するペネトレーションテストツールです。
ZAPが稼動する端末はマルチプラットフォーム対応がされており、Linux/Windows/Macに対応しています。また、多言語対応もされており、日本語も含まれています。
2014/05/21 に Version 2.3.1 が公開されています。ここでは、ZAPのインストールと機能を簡易ではありますが記載しています。 Continue reading
久しぶりに、OWASP Zed Attack Proxy (ZAP) を確認してみると、バージョンが「2.2.2」にアップしていました。前回確認時は「2.0.0」だったので、結構更新された感があります。
簡単ではありますが、Mode(モード)選択について記載します。
脆弱性診断ツール ZAP にも記載しておりますので、合わせて参照いただければと思います。
※ ご自身が管理しているサイト以外での実行は絶対に避けるよう、お願いいたします。
ZAP のユーザーインターフェースの Top Level Toolbar では、Mode(モード)が選択できます。
ZAP の説明では、Protected mode の利用が推奨されています。Safe mode で良いケースも多いと思います。
Standard mode は危険なので、自身が管理しているサイト、かつ、壊れてもよい自身の検証サイトでのみ使う形になるのかなと思います。デフォルト選択が Standard mode になっているみたいなので注意してください。
Webアプリケーションの脆弱性を見つけるペネトレーション試験ツール「OWASP Zed Attack Proxy(ZAP)」が、メジャーバージョン2.0.0 にアップしていたので、 変更点や利用感を紹介します。 Continue reading
久しぶりにZAPを起動したら、「新しいバージョンのOWASP ZAPがあります:1.4.1」のダイアログが表示されました。 Continue reading
OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。
| アラート | X-Frame-Options header not set |
| Risk | Informational |
| Reliablity | Warning |
| Description | X-Frame-Options header is not included in the HTTP response to protect against ‘ClickJacking’ attacks |
| Solution | Most modern Web browsers support the X-Frame-Options HTTP header, ensure it’s set on all web pages returned by your site (if you expect the page to be framed only by pages on your server (e.g. it’s part of a FRAMESET) then you’ll want to use SAMEORIGIN, otherwise if you never expect the page to be framed, you should use DENY. |
| Reference | http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx?Redirected=true |
OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。
| アラート | X-Content-Type-Options header missing |
| Risk | Low |
| Reliability | Warning |
| Description | The Anti-MIME-Sniffing header X-Content-Type-Options was not set to ‘nosniff’ |
| Solution | This check is specific to Internet Explorer 8 and Google Chrome. Ensure each page sets a Content-Type header and the X-CONTENT-TYPE-OPTIONS if the Content-Type header is unknown |
リスクは「Low」らしいが、かなりの数で検出されてしまい煩わしいので対策を行う事にした。 Continue reading
