STW.HOS-086.ZapVsBurp

第86回ハンズオンセミナー 脆弱性診断ええんやで(^^) 徹底比較研究 OWASP ZAP vs Burp Suite 2022年9月20日(火) 脆弱性診断研究会 (Security Testing Workshop) nilfigo（ニルフィ）

アジェンダ 1. 登壇者 2. OWASP ZAPとBurp Suite 3. 徹底比較 4. 目的別推奨ツール © 2022 脆弱性診断研究会 Security Testing Workshop 2

登壇者 松本 隆則 @nilfigo（ニルフィ）(Twitter, Facebook) • 脆弱性診断研究会 主宰 • ZAP Evangelist • GMOサイバーセキュリティ byイエラエ株式会社 （旧社名：株式会社イエラエセキュリティ） © 2022 脆弱性診断研究会 Security Testing Workshop 3

脆弱性診断研究会とは • Webアプリケーション脆弱性の診断手法や 脆弱性診断ツールの使用法などを研究するコミュニティ • コワーキングスペース茅場町Co-Edo様にて 2014年８月に第１回セミナーを開催 • 2022年9月現在で85回のセミナーを実施 © 2022 脆弱性診断研究会 Security Testing Workshop 4

ZAP Evangelist https://github.com/zaproxy/zaproxy/wiki/ZapEvangelists いつでもどこでもOWASP ZAPや脆弱性診断などについてお話しします！ お気軽にお声掛けください！ @nilfigo (Twitter, Facebook) © 2022 脆弱性診断研究会 Security Testing Workshop 5

• https://github.com/zaproxy/zaproxy/wiki/ZapEvangelists

OWASP ZAPとBurp Suite OWASP ZAP Burp Suite 開発元 OWASP（⾮営利団体：アメリカ） https://www.zaproxy.org/ PortSwigger（法⼈：イギリス） https://portswigger.net/ 種類 OWASP ZAPのみ Burp Suite Community Edition Burp Suite Professional Burp Suite Enterprise Edition 料⾦ 無料 オープンソース ライセンス：Apache License 2.0 無料 Burp Suite Community Edition 有料 Burp Suite Professional $449.00（約64,000円） Burp Suite Enterprise Edition $5,999.00〜（約860,000円〜） © 2022 脆弱性診断研究会 Security Testing Workshop 6

• https://www.zaproxy.org/
• https://portswigger.net/

徹底比較 • 外観 • 自動診断 • 報告書 © 2022 脆弱性診断研究会 Security Testing Workshop 7

検証用Webサイト OWASP Mutilledae Ⅱ https://github.com/webpwnized/mutillidae-docker DVWA https://github.com/digininja/DVWA © 2022 脆弱性診断研究会 Security Testing Workshop 8

• https://github.com/webpwnized/mutillidae-docker
• https://github.com/digininja/DVWA

宣伝 徹底比較研究 OWASP ZAP vs Burp Suite 外観＆自動診断編 技術書典13（電⼦版、電⼦＋紙版） 1,000円（紙版の送料無料） BOOTH（電⼦版のみ） 1,000円 © 2022 脆弱性診断研究会 Security Testing Workshop 9