ちょっと前に知った脆弱性診断研究会。
OWASP ZAPのハンズオンセミナーをやるとのことで、参加してみました。
以前から興味のあったツールで、勉強会をしてくれるのは非常にありがたい。
場所が東京で関西人としては二の足を踏むところですが、
ちょうど上京中だったので、最高のタイミングでした。


内容は講師の方の解説を受けながら、会場に準備された脆弱サイトを
みんなで攻撃しましょうというもの。
徳丸本サンプルとかFoxyProxyを使ってプチ予習はしていましたが、
微妙なところで間違えて理解していたところがあったりして、非常に有意義な勉強会でした。
というわけで、以下メモ書き。


（１）冒頭
・脆弱性診断研究会とOWASPの紹介
・OWASP ZAPはApache License
・数日前にDoorKeeperが方針を変えた件




（２）診断手法 基本編
・モード
セーフモード、プロテクトモード、標準モード、ATTACK mode(攻撃モード)
プロテクトモード以外は使用禁止！！（他は管理外のサイトへの診断を実行する可能性が高い）


・オプション
ローカル・プロキシ：ZAPの待受IPとポート（デフォは8080だけどメジャーなのでやめといたほうがよい）
スパイダー：URLを収集する機能
動的スキャン：検査を行う。検査時にはウェイトをかけて負荷を調整できる。


・診断の流れ
診断対象収集→ポリシー設定→診断


・UI
環境によりけりだけど、アラートタブは出しておくべし


・スパイダーの設定
Maximum depth to crawl：ディレクトリの深さを表す。
→初めてのサイトは深めにしたほうがよい。
→日によって変わるページがあるとなかなかにしんどくなる。


・並列スキャンスレッド数
１スレッド（つまり単一実施）がおすすめ


・スパイダー結果（Flags列の見方）
SEED：探索のタネ
無印：タネをもとにアクセスできるところ
OUT_OF_CONTEXT：正規表現にマッチしなかった


・アドオンの話
Alphaと書かれたものを入れるのはかなり危険（入れただけでZAPがクラッシュすることもある）


・おすすめアドオン
Directory List・・・隠してるつもりのフォルダを探しにかかる
Active scanner,Passive scanner
「LDAP」というキーワードのあるアドオンは入れない方がよい（たぶん止まる）


・スマートフォンアプリのAPI診断
スマホにZAPの証明書を入れると、WiFi・プロキシ経由でAPIを診断できる


・診断結果について
本当はツールが吐いた結果の妥当性を検証する必要がある
（それなりに場数がいる）。
Webアプリセキュリティの知識は、書籍なら徳丸本、
最新情報はネット、コミュニティから取得できる。


・OWASP ZAPハンズオンセミナーについて
始めた頃は数人。最近はよく埋まる。今回は出席率めっちゃいいらしい。
セキュリティへの関心が高まったから？


・やられサイト
OWASP BWAで検索するとゲットできる。
https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project