神戸脆弱性診断の会 #1
こんにちは Markです。
神戸脆弱性診断の会の#1が無事終了しました。
はじめての勉強会だったので準備のため夜更かしが続き、お肌の調子がすごく悪いです。
ただ、勉強会自体は初回にも関わらず満員以上の応募で大成功でした!!
# 神戸脆弱性診断の会では何をするか
関西には脆弱性診断に関する勉強会がなかったので、この勉強会を中心に情報共有の場が広がっていき、関西の苦しむ診断員または診断を依頼する人、診断を社内実施したい人のコミュニティになっていければいいと思います!
もちろん、学生さんの参加も大歓迎です。今回も3割くらい学生さんで驚きました!勉強意欲すごいな~。
facebookgroup
https://www.facebook.com/groups/1407869585989208/
slack
# もくじ
メインは「ハンズオン」ですね。
セキュリティ診断、Webアプリケーション、診断ツールについての情報はインターネット上にたくさんあるのであまり重視しませんでした。
Webアプリケーション診断のことを学習する際に最低限必要な「ホワイトボックスう診断とブラックボックス診断のちがい」「ツール診断とマニュアル診断の違い」「HTTPリクエスト」「XSS」「SQLI」ぐらいをさらっと説明しました。
# ハンズオン
今回の内容は「プロキシ機能」「リクエスト改竄」「動的スキャン」とすごく初歩的な内容でしたが、脆弱性診断の入門としてはちょうどいいレベル感だったかと思います。
僕自身は診断について勉強するときに、脆弱性の勉強から始めました。しかし、実際の診断作業をするまで全然理解できていませんでした。百聞は一見に如かずはその通りだと思います。
# 今回の目玉
ZAPについて説明していたのですが、「ZAPで診断する~」みたいな記事やブログはたくさんあるのでそこらへんは省きます。
ZAPの設定にフォーカスをあてて「Global Exclude URL」についてです。
これはZAPのサイトタブや履歴タブに診断に余計なページの情報を表示させないようにする設定です。
例えば、脆弱性診断では「.js」や「.css」「.png」など静的なページに対しては診断を実施しません。ただ、Webサイトではこれらの拡張子に対するリクエストは必ずあります。そのリクエストがZAPのサイトタブや履歴タブに含まれて診断しにくい!管理しにくい!見にくい!と色々と面倒なんです。
Global Exclude URLに設定しておくことで、診断作業が効率的になること間違いなし!まだ使っていない方は是非!
# 次回
今回の検証環境が不完全だったこともあるので、もう一回くらいこの内容をやっていこうと思います。
追加で、アドオンやスクリプトについて、他のペンテストツールについても説明しようと思います。