質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

FuelPHP

FuelPHPは、軽量高速で開発が可能なPHPのWebアプリケーションフレームワークです。

Q&A

解決済

1回答

2399閲覧

owaspzapで自動クロールが出来ない、、

oroshitaruuuuu

総合スコア25

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

FuelPHP

FuelPHPは、軽量高速で開発が可能なPHPのWebアプリケーションフレームワークです。

0グッド

2クリップ

投稿2018/09/10 08:06

編集2018/09/12 02:56

やりたいこと

脆弱性診断ツールOWASP ZAPを使って、自分で作成したwebサイトの脆弱性をはかる
その際に、中になる「スパイダー」という機能を用いて、自動でwebサイトの全てのページを洗い出し、それらに対して「動的スキャン」を行い、脆弱性診断を行いたい

発生している問題・エラーメッセージ

ログイン機能がついたサイトのため、「自動認証設定」を行い、認証が通っていることは確認出来た。
しかし、クロールできるのはログイン前のページだけで(ログインページやアセットファイルなど)、ログイン後に訪れるトップページ以降のページをクロールできていない。(当たり前だが、手動で訪れたページに関してはクロールできている)

試したこと

一旦、「スパイダー」機能を使うのはあきらめ、「強制ブラウズ」という機能を使ってみたが、履歴を見ても似たようなファイルしかクロールしておらず、成功しなかった

補足情報(FW/ツールのバージョンなど)

ツール:OWASP ZAP ver2.7.0
webサイト開発言語:FuelPHP ver1.8

追記情報

設定内容
  • スパイダー設定

スパイダー設定

  • 動的スキャン設定

開始位置はhttp://*****.com(OWASP ZAPにて「サイト」タブに表示される親フォルダ)を指定
ユーザは自動認証設定で作成したユーザを指定
動的スキャン設定

  • 自動認証設定

Login Form Target URLにはログイン時のPOSTファイルを指定
Regax pattern identified in Logged in response messagesにはログイン時のPOSTファイルのレスポンスヘッダ情報に含まれた文字列を指定
※レスポンスには、ログイン後に訪れるページの情報ではない。これは、参考サイトに認証判定について書かれた部分を参照
参考サイト
自動認証設定

ディレクトリ構造

FuelPHPを使っているので、MVC構造をとったディレクトリ構造
特に変わった構造でもない、、

docs fuel - core - pdf - public - app - classes - controller - ***** - *****.php - *****.php - *****.php - model - ***** - *****.php - *****.php - *****.php - views - ***** - *****.php - ***** - *****.php - ***** - *****.php

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ockeghem

2018/09/10 09:27

もう少し設定内容や、アプリケーションのディレクトリ構成などを示していただかないと、回答は難しいです
oroshitaruuuuu

2018/09/12 02:57

ご返信ありがとうございます。指摘して頂いた点に関して、質問に追記しましたのでご確認宜しくお願い致します。
guest

回答1

0

ベストアンサー

お困りのようですが、お手伝いするとなるとかなり大変そうです。チェックポイントとして以下を確認してみてください。

  • セッションID名の設定は済んでいるか?
  • CSRF対策トークン名の設定は済んでいるか?
  • 診断に用いるユーザに「有効」のチェックはついているか? (デフォルトは有効なし)
  • Forced Userが診断用のユーザが選択されているか?
  • 動作モードは「プロテクト」になっているか?
  • 診断対象はコンテキストとして設定されているか?
  • Forced User Mode(錠前のアイコン)は有効になっているか?
  • いきなり動的スキャンを実行しているようだが、自動クロールはスパイダーの方
  • スパイダー(動的スキャン)のリクエスト・レスポンスを表示させて、ログイン処理が行われているかを確認する

他にもあるかもしれませんが、思いだしたら追記します。

投稿2018/09/12 13:19

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

oroshitaruuuuu

2018/09/13 03:56

ご回答ありがとうございます。 列挙して頂いたチェックポイントを確認しましたが、全て設定済でした。 しかし依然としてスパイダーによるクロールで取得できるページは変わりません。 差し支えなければ、これらの原因を教えて頂けないでしょうか。
ockeghem

2018/09/16 03:13

設定が問題ないのに原因が分かるという想定でしょうか? それは無理なご要求だと思います。 9月24日(月)に「第65回 脆弱性診断ええんやで(^^) for ルーキーズ」という勉強会が開催されます。会場費用として 1000円かかりますが、ちょうどOWASP ZAPによる自動診断がテーマですので、参加されてみてはいかがでしょうか? 東京近郊にお住みでないとちょっと難しいかもしれませんが。 https://security-testing.doorkeeper.jp/events/79879
oroshitaruuuuu

2018/09/16 08:14

考えらえる原因を教えて頂こうと思ったのですが、文面を見ると伝わらないですね、申し訳ございません。クロールしにくい苦手なサイトとかあるのかと思いまして、、 お誘いありがとうございます。 ですが、その日は予定がありますので、またの機会にさせて頂きます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問