OWASP Zed Attack Proxy(略称ZAP)は、Webアプリケーションの脆弱性を診断するペネトレーションテストツールです。
ZAPが稼動する端末はマルチプラットフォーム対応がされており、Linux/Windows/Macに対応しています。また、多言語対応もされており、日本語も含まれています。
2014/05/21 に Version 2.3.1 が公開されています。ここでは、ZAPのインストールと機能を簡易ではありますが記載しています。 Continue reading
Tag Archives: OWASP_Zed_Attack_Proxy
Zed Attack Proxy (ZAP) バージョンアップ(2.0.0)
Webアプリケーションの脆弱性を見つけるペネトレーション試験ツール「OWASP Zed Attack Proxy(ZAP)」が、メジャーバージョン2.0.0 にアップしていたので、 変更点や利用感を紹介します。 Continue reading
Zed Attack Proxy (ZAP) バージョンアップ(1.4.1)
久しぶりにZAPを起動したら、「新しいバージョンのOWASP ZAPがあります:1.4.1」のダイアログが表示されました。 Continue reading
ClickJacking 対策
OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。
| アラート | X-Frame-Options header not set |
| Risk | Informational |
| Reliablity | Warning |
| Description | X-Frame-Options header is not included in the HTTP response to protect against ‘ClickJacking’ attacks |
| Solution | Most modern Web browsers support the X-Frame-Options HTTP header, ensure it’s set on all web pages returned by your site (if you expect the page to be framed only by pages on your server (e.g. it’s part of a FRAMESET) then you’ll want to use SAMEORIGIN, otherwise if you never expect the page to be framed, you should use DENY. |
| Reference | http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx?Redirected=true |
X-Content-Type-Options 「nosniff」 対策
OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。
| アラート | X-Content-Type-Options header missing |
| Risk | Low |
| Reliability | Warning |
| Description | The Anti-MIME-Sniffing header X-Content-Type-Options was not set to ‘nosniff’ |
| Solution | This check is specific to Internet Explorer 8 and Google Chrome. Ensure each page sets a Content-Type header and the X-CONTENT-TYPE-OPTIONS if the Content-Type header is unknown |
リスクは「Low」らしいが、かなりの数で検出されてしまい煩わしいので対策を行う事にした。 Continue reading
