shikata ga nai

Private? There is no such things.

OWASP ZAPでAttack(1)

Hello there,

 

混乱をしないためにも初めは、シンプルに一画面のみに対して攻撃を。

まずは、WackoPickoを起動しておいて。

 

f:id:ThisIsOne:20191212174303p:plain

 

次にOWASP ZAPを起動すると。

『サイト』タブは、何もない状態。

 

f:id:ThisIsOne:20191212174435p:plain

 

WackoPickoの画面をリロードすると。

表示され。

WackoPicko以外のサイトは、右クリックで削除しておくことも。

初めは混乱するので。

 

f:id:ThisIsOne:20191212174617p:plain

 

WackoPickoのサイトを右クリックすると。

すぐには『攻撃』メニューは選択できず。

先にコンテキストを指定しておく必要が。

 

f:id:ThisIsOne:20191212174854p:plain

 

今回は、深く考えずに『既定コンテキスト』を選択して。

 

f:id:ThisIsOne:20191212175010p:plain

 

すると今度は、右クリックで『攻撃』メニューが選択できるようになったので。

『動的スキャン』メニューを選択して。

 

f:id:ThisIsOne:20191212175144p:plain

 

念のためスコープを確認した後に。

『スキャンを開始』を実行すると。

 

f:id:ThisIsOne:20191212175239p:plain

 

対象が1画面なので。

あっという間にスキャンは終了して。

画面下の『アラート』タブを選択すると。

診断結果が表示され。

 

f:id:ThisIsOne:20191212175422p:plain


その中のひとつを選択して詳細を確認すると。

なにやら『ディレクトリの一覧を表示することが可能』だと。

 

f:id:ThisIsOne:20191212175544p:plain

 

試しに指定されているURLを入力してみると。

ディレクトリが表示された。

 

f:id:ThisIsOne:20191212175641p:plain


慌てずに一画面ずつ丁寧に検証して。

コツをつかむようにしていくのがおすすめかと。

Best regards,

 

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain