地元関西で脆弱性診断の勉強会が開かれるとのことで行ってみました。
https://connpass.com/event/73760/


参加者それぞれについて、AWS上に作られた脆弱なサイトが割り当てられ、
そこをOWASP ZAPを使ってハンズオン形式で攻撃するというものです。
以下、イベント中のメモ。


・ツール診断とマニュアル診断の違い
・XSSやSQLインジェクション脆弱性の解説は聖書徳丸本で^^;
・ZAPのモードはプロテクトモードにするべし
・Global Exclude URLで静的ファイルを除外するべし
・プロテクトモードの時は、対象サイトを設定画面からコンテキストに含める
・動的スキャンタブのShow scan progress detailsはかなり使える
　→帰ってから復習してみたけど本当に使えるわ、これ。


脆弱性診断を扱った勉強会は東京では盛んに行われており、
私も過去に参加したことがありました。
一方で関西ではほとんどないということで始まった今回のイベント。
今後盛り上がっていってほしいです。