facebook twitter hatena line email

「セキュリティ/OWASPZAP」の版間の差分

提供: 初心者エンジニアの簡易メモ
移動: 案内検索
(X-Frame-OptionsヘッダーがHTTPレスポンス)
 
(同じ利用者による、間の2版が非表示)
行32: 行32:
 
#登録したサイトのアイコンが赤くなるのを確認する
 
#登録したサイトのアイコンが赤くなるのを確認する
  
==脆弱性診断準備==
+
==脆弱性診断==
 
#間違い防止のためサイトに対象サイト以外があるときは削除しておく
 
#間違い防止のためサイトに対象サイト以外があるときは削除しておく
 
#対象サイトを右クリックし、攻撃/動的スキャンを選択
 
#対象サイトを右クリックし、攻撃/動的スキャンを選択
行41: 行41:
 
==参考==
 
==参考==
 
https://qiita.com/sangi/items/ba7e3d39237045c9be36
 
https://qiita.com/sangi/items/ba7e3d39237045c9be36
 +
 +
 +
==3大警告==
 +
===X-Frame-OptionsヘッダーがHTTPレスポンス===
 +
nginxの場合
 +
add_header X-Frame-Options SAMEORIGIN;
 +
apacheの場合
 +
Header always append X-Frame-Options SAMEORIGIN
 +
phpの場合
 +
header('X-FRAME-OPTIONS: SAMEORIGIN');
 +
 +
*DENY:フレーム内に表示させない
 +
*SAMEORIGIN:フレームと同じドメインのページでは許可する
 +
 +
===HTTPレスポンスヘッダ 'X-XSS-Protection' が無効===
 +
nginxの場合
 +
add_header X-XSS-Protection "1; mode=block";
 +
Apacheの場合
 +
Header set X-XSS-Protection "1; mode=block"
 +
phpの場合
 +
header("X-XSS-Protection: 1; mode=block");
 +
 +
===X-Content-Type-Optionsヘッダの設定ミス===
 +
nginxの場合
 +
add_header X-Content-Type-Options nosniff;
 +
Apacheの場合
 +
Header set X-Content-Type-Options nosniff
 +
phpの場合
 +
header("X-Content-Type-Options: nosniff");

2018年4月2日 (月) 18:29時点における最新版

OWASP ZAPとは

脆弱性診断ツールでParosを元にしている

公式:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

OWASP ZAPのダウンロード

https://github.com/zaproxy/zaproxy/wiki/Downloads

注意

自サイト以外には絶対に脆弱性診断しないように 仮に、診断をした場合は、攻撃とみなされ、損害賠償をされる恐れもあります。

プロテクトをする

  1. 誤って攻撃するおそれがあるので、最初の段階で
  2. 左上のプロテクトボタンを押しておく

ネットワークポート変更

preference/オプション/LocalProxiesでポートを変更 8089(適当に)

ブラウザ側のポートの変更

firefox/環境/ネットワークプロキシ 8089(適当に)

対象ページの登録

  1. ポート変更したブラウザでアクセスすると
  2. owaspクライアントの左側のサイトに登録される

脆弱性診断準備

  1. サイトを右クリックし、NewContextを選択し、サイトをコンテキストに登録する
  2. 登録したサイトのアイコンが赤くなるのを確認する

脆弱性診断

  1. 間違い防止のためサイトに対象サイト以外があるときは削除しておく
  2. 対象サイトを右クリックし、攻撃/動的スキャンを選択

レポート生成

レポート/レポート生成でhtml出力される

参考

https://qiita.com/sangi/items/ba7e3d39237045c9be36


3大警告

X-Frame-OptionsヘッダーがHTTPレスポンス

nginxの場合

add_header X-Frame-Options SAMEORIGIN;

apacheの場合

Header always append X-Frame-Options SAMEORIGIN

phpの場合

header('X-FRAME-OPTIONS: SAMEORIGIN');

  • DENY:フレーム内に表示させない
  • SAMEORIGIN:フレームと同じドメインのページでは許可する

HTTPレスポンスヘッダ 'X-XSS-Protection' が無効

nginxの場合

add_header X-XSS-Protection "1; mode=block";

Apacheの場合

Header set X-XSS-Protection "1; mode=block"

phpの場合

header("X-XSS-Protection: 1; mode=block");

X-Content-Type-Optionsヘッダの設定ミス

nginxの場合

add_header X-Content-Type-Options nosniff;

Apacheの場合

Header set X-Content-Type-Options nosniff

phpの場合

header("X-Content-Type-Options: nosniff");