動的解析系の脆弱性診断ツールのうち、proxy型のツールについての紹介から活用事例まで、参考リンクをまとめてみます。
診断ツール比較
LocalProxy型診断ツールの紹介と比較が分かりやすい資料。今回は、この資料で登場するツールに絞ってまとめてみます。
OWASP ZAP
公式サイト
OWASP Zed Attack Proxy Project - OWASP
User Guide
参考資料
-
フリーでやろうぜ!セキュリティチェック!
- 後半のアプリケーションの診断でZAPが紹介されています
-
OWASP ZAP-API #OWASP Night 21th // Speaker Deck
- APIを活用してHubot駆動で脆弱性診断の自動化、素敵です
-
Jenkins と owasp zap で自動診断
- こちらはJenkins駆動でAPIを叩いての自動診断ですな
-
OWASP Zed Attack Proxy 運用マニュアル
- ジャパニーズ大助かりの日本語マニュアル、素敵です!
Burp Suite
公式サイト
Burp Suite
参考資料
-
burpsuitejapan/startup
- Burp Suiteのスタートアップ用ドキュメント (by Burp Suite Japan User Group)
-
SSTなるほど!コーナー HTTP通信の中身を覗いてみよう!Burp Suite Free Edition 1.6編【前編】| SST 株式会社セキュアスカイ・テクノロジー
- 比較的丁寧に、基本的な使い方から応用までを複数回に分けて説明してくれているサイト
-
Burp番外編~バープ、チョトニホンゴデキル~
- Burp Suite が日本語弱いのは有名な話らしいですが、それに関連したネタ資料
-
フリーでできるWebセキュリティ(burp編)
- こちらは真面目にセッション管理補助機能(Macro, Cookie jar, Session Handling Rules)を説明した資料です
-
サイバーセキュリティプログラミング ―Pythonで学ぶハッカーの思考 : Amazon.co.jp
- 脆弱性診断の自動化ツールとしてBurp Suiteの拡張機能をPython(Jython経由)で実装するサンプルあり
Fiddler
公式サイト
Fiddler free web debugging proxy
参考資料
-
はぐれSEのやさぐれ日記
- Fiddler徹底解剖ということで、インストール、基本操作から幾つかの応用的な使い方を紹介
-
【レビュー】Webアプリのデバッグに最適。HTTPに特化したネットワークキャプチャーツール「Fiddler」 - 窓の杜
- 何故ここに来て窓の杜なのか、大人なら黙って理解してくれるはず(ネタ切れ)
さいごに
他に、有用なサイトなどありましたら是非コメントください。