あうとぷっと

いんぷっとの整理とあうとぷっとの場

DEF CON 28 SafemodeのCTFを振り返る

DEFCON28で開催されたイベントを、CTFを中心に紹介していきます。 情報を探しても一般に公開されていないものもあったため分かった範囲で書いていきます、Writeupは随時追記予定です。 ここで紹介するCTFの半分近くに日本からのチームが参加していたようです…

ZAPの画面構成(UI Overview)

ZAP

記事の要約 ZAPの画面構成は、大きく6つに分かれている 目次 記事の要約 目次 ZAPの画面構成 ZAPの画面構成 ZAPの画面構成は、以下のように分かれています。 ZAPの画面構成 メニュー(Menu Bar) ZAP全体を通して様々な機能へアクセスすることができる ツール(…

診断プロセス

ZAP

記事の要約 ZAPを使った診断プロセスは、Crawl -> Audit -> Reportとなる 目次 記事の要約 目次 ZAPの診断プロセス ZAPの診断プロセス ZAPの診断プロセスは一般的に「Crawl」「Audit」「Report」といった作業を順に行います。 Crawl Webブラウザで診断対象の…

ZAPの待ち受けポートを設定

ZAP

記事の要約 ZAPの待ち受けポートは、デフォルト設定では8080 IEとChromeのプロキシ設定はどちらで設定しても動作する 各ブラウザのプロキシ設定から127.0.0.1:8080を設定する 目次 記事の要約 目次 ZAPの待ち受けポートを設定 Internet Explorerでローカル・…

ZAP本体とアドオンのアップデート

ZAP

記事の要約 ZAP本体やアドオンを更新する場合は、「アドオンの管理」からアップデートする 「アドオンの管理」は、メニューとアイコンどちらからも開くことが出来る 目次 記事の要約 目次 ZAPのアップデート ZAPのアップデート ZAPはアドオンを含めて更新頻…

初回起動と証明書インポート

ZAP

記事の要約 初回起動時の状況を紹介 3種類のブラウザへルート証明書をインポートする手順を紹介 目次 記事の要約 目次 初回起動 ルート証明書の生成と保存 ルート証明書のインストール Internet Explorerに証明書をインストールする場合 Google Chromeに証明…

ZAPの特徴

ZAP

記事の要約 ZAPはローカル・プロキシとして機能するツール 自動診断だけでなく、手動診断の補助ツールとしても利用が出来る 目次 記事の要約 目次 特徴 特徴 ZAPはローカル・プロキシとして動作するツールです。 経由させたリクエストやレスポンスはZAPが管…

ZAPとは

ZAP

記事の要約 ZAPの説明と機能を紹介しています 目次 記事の要約 目次 ZAPとは 実装されている主な機能 ZAPとは Zed Attack Proxy(以下、ZAP)は、OWASP が開発した Web アプリケーションの脆弱性を検出する ためのフリーツールで、現在でも開発が進められてお…

ZAP 2.9.0をインストールする(Windows編)

ZAP

記事の要約 ZAP公式サイトからインストーラをダウンロードしインストールする エラーが出なければ、インストールは完了です 目次 記事の要約 目次 ダウンロード インストール ダウンロード ZAP公式Webサイトより、ファイルをダウンロードします。 www.zaprox…

ZAPpingTheTop10を日本語に訳してみた

ZAP

ブログはご無沙汰になってしまってます、 時間が作れたので、必須タスクをこなしつつ少しずつやりたいことを消化しています。 そのうちの1つ、ZAPpingTheTop10を日本語にしてみました。 ZAPpingTheTop10とは OWASP ZAPを用いてOWASP Top10の脆弱性を見つける…

Today's security summary(2017/6/20)

この記事は、なにをまとめているの? 2017/6/20に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/19)

この記事は、なにをまとめているの? 2017/6/19に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/18)

この記事は、なにをまとめているの? 2017/6/18に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/15)

この記事は、なにをまとめているの? 2017/6/15に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/13)

この記事は、なにをまとめているの? 2017/6/13に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/12)

この記事は、なにをまとめているの? 2017/6/12に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/11)

この記事は、なにをまとめているの? 2017/6/11に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/9)

この記事は、なにをまとめているの? 2017/6/9に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/8)

この記事は、なにをまとめているの? 2017/6/8に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/7)

この記事は、なにをまとめているの? 2017/6/7に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/6)

この記事は、なにをまとめているの? 2017/6/6に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/5)

この記事は、なにをまとめているの? 2017/6/5に目に留まって話題になってないと感じる記事(主に海外)を中心に読み解いていきます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細は…

Today's security summary(2017/6/4)

この記事は、なにをまとめているの? 2017/6/4に目に留まった記事(主に海外)と、1日1個何かに注目して情報を深堀分析してみます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細はリ…

Today's security summary(2017/6/3)

この記事は、なにをまとめているの? 2017/6/3に目に留まった記事(主に海外)と、1日1個何かに注目して情報を深堀分析してみます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細はリ…

Today's security summary(2017/6/2)

この記事は、なにをまとめているの? 2017/6/2に目に留まった記事(主に海外)と、1日1個何かに注目して情報を深堀分析してみます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細はリ…

Today's security summary(2017/6/1)

この記事は、なにをまとめているの? 2017/6/1に目に留まった記事(主に海外)と、1日1個何かに注目して情報を深堀分析してみます。 主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細はリ…

Today's Security Summary(2017/5/31)

2017/5/31に目に留まった記事をまとめます。 Qualys Security Advisory - CVE-2017-1000367 in Sudo’s get_process_ttyname() for Linux CVE : CVE-2017-1000367 概要 : sudoに存在していた権限昇格の脆弱性 CVSS : 7.8 (RedHat値) 影響のあるバージョン : s…

Today's Security Summary(2017/5/30)

この記事なに? 2017/5/30に集めた記事の中で、日本語でまとめておこうと思う記事についてまとめています。 海外の記事に目を通してると気付くこともあると思うので、動向を探る上でもやって無意味ではないかなと。 主に、注目すべきと感じたものを対象にピ…

短縮URLサービスと短縮URLの展開方法をまとめてみた

記事のまとめ 短縮URLの遷移先は危険な可能性があることを十分理解すること 末尾に「+」を加えると統計情報を展開してくれるサービスがある アクセスせずに遷移先を確認する方法が無い短縮URLは、ブラウザでアクセスせずコマンドで確認すると楽 短縮URLとは …

「Twitter鍵垢覗き見ツール」を調べてみた(3/11)

記事のまとめ 無闇にURLをクリックすることは止めましょう Twitterのアプリ連携は不用意に行うべきではない うまい話には裏がある 連携した記憶がある人は、アプリ連携を解除しましょう 記事のまとめ 「Twitter鍵垢覗き見ツール」とは アプリ連携するとどん…