OWASP Zed Attack Proxy 2.3.1 のインストールと機能

OWASP Zed Attack Proxy(略称ZAP)は、Webアプリケーションの脆弱性を診断するペネトレーションテストツールです。

ZAPが稼動する端末はマルチプラットフォーム対応がされており、Linux/Windows/Macに対応しています。また、多言語対応もされており、日本語も含まれています。

2014/05/21 に Version 2.3.1 が公開されています。ここでは、ZAPのインストールと機能を簡易ではありますが記載しています。 Continue reading

ClickJacking 対策

OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。

アラート X-Frame-Options header not set
Risk Informational
Reliablity Warning
Description X-Frame-Options header is not included in the HTTP response to protect against ‘ClickJacking’ attacks
Solution Most modern Web browsers support the X-Frame-Options HTTP header, ensure it’s set on all web pages returned by your site (if you expect the page to be framed only by pages on your server (e.g. it’s part of a FRAMESET) then you’ll want to use SAMEORIGIN, otherwise if you never expect the page to be framed, you should use DENY.
Reference http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx?Redirected=true

Continue reading

X-Content-Type-Options 「nosniff」 対策

OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。

アラート X-Content-Type-Options header missing
Risk Low
Reliability Warning
Description The Anti-MIME-Sniffing header X-Content-Type-Options was not set to ‘nosniff’
Solution This check is specific to Internet Explorer 8 and Google Chrome. Ensure each page sets a Content-Type header and the X-CONTENT-TYPE-OPTIONS if the Content-Type header is unknown

リスクは「Low」らしいが、かなりの数で検出されてしまい煩わしいので対策を行う事にした。 Continue reading