OWASP ZAP
「OWASP ZAP」は「The OWASP Zed Attack Proxy」の略で、OWASP (Open Web Application Security Project)という団体内のプロジェクトにより管理・運営されているオープンソースのセキュリティ診断ソフトウェアです。
OWASP ZAPはJavaで作成されています。
セキュリティ診断 勉強会(Doorkeeper)
このOWASP ZAPや他の様々な診断ツールを使用して実施するセキュリティ診断の考え方や手法を共有するためにセキュリティ診断 勉強会というコミュニティをDoorkeeperに作成しました。
ハンズオンセミナー
第3回セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^) - セキュリティ診断 勉強会 | Doorkeeper
3回目のセキュリティ診断に関するハンズオンセミナーを開催します。
場所
前回同様、コワーキングスペース茅場町 Co-Edo様のスペースをお借りします。
日時
2014年10月24日(金) 19:00〜21:00
名前はふざけてますが、きちんと真面目に「勉強」するので、セキュリティ診断にご興味がある方はお気軽にご参加ください(^ ^)
セミナー概要
今回の主要テーマは「OWASP ZAPによる手動診断手法」です。
対象Webアプリケーションの情報収集
- 使用されているサーバー製品の推定
- 開発言語の推定
- ユーザー認証方式の確認
診断対象クローリング
- 手動クローリング
- 自動クローリング(Spider)
診断方法
- 自動診断
- XSSやSQLインジェクションといった特定の脆弱性のみ診断
診断結果
- 確認方法
- 診断結果のPDFやHTMLファイルなどへの保存方法
詳細な内容は現在検討中です。
上記の概要に列挙した以外にご希望がございましたらコメントをお寄せください。