OWASP ZAP 1.3.0

OWASP Zed Attack Proxy Project - OWASP

ペネトレーションテスト用のProxyツール。機能としては自動スキャナ機能など以下のようなものがあります。

  • Intercepting Proxy
  • Automated scanner
  • Passive scanner
  • Brute Force scanner
  • Spider
  • Fuzzer
  • Port scanner
  • Dynamic SSL certificates
  • API
  • Beanshell integration

日本語を含め10言語に対応しています。Parosの派生らしく、UIが似ています。

ZAP is a fork of the well regarded Paros Proxy.

日本語表示にして動かしてみました。UIに関してはBurp Suiteよりとっつきやすい気がします。

Burp Suite 1.4

Burp Suite

Burp Suiteがバージョンアップしました。IPv6対応や文字コードの自動認識機能などが付いたようです。
Blogによると追加された機能は以下の通りです。

This is a major upgrade with numerous new features, including:

  • The ability to compare site maps
  • Functions to help with testing access controls using your browser
  • Support for preset request macros
  • Session handling rules to help you work with difficult situations
  • In-browser rendering of responses from all Burp tools
  • Auto recognition and rendering of character sets
  • Support for upstream SOCKS proxies
  • Headless mode for unattended scripted usage
  • Support for more types of redirection
  • Support for NTLMv2 and IPv6
  • Numerous enhancements to Burp's extensibility
  • Greater stability on OSX

入門 考える技術・書く技術

以前、バーバラ ミントの著書「考える技術・書く技術」を途中まで読んだんですが、あまり腹落ちしていないので、買ってみました。入門書だけあってとっつきやすい気がしますね。

Nintendo 3DS

もともとあまり買うつもりはなかったのだが、3月にデータセンターでの待ち時間がたくさんありそうだったので、暇つぶしのために購入。
ところが震災があってスケジュールが変更になったこともあり、あまり使う場がなく放置状態だったりする。ブラウザもまだリリースされていないし、3DS専用ソフトも少ないのでもうしばらくはいまいちな状態かな。

ニンテンドー3DS コスモブラック

ニンテンドー3DS コスモブラック

Arirang 2.01

Webサーバのセキュリティをチェックするツール。2002年にversion 1.6がリリースされてからずっとアップデートが止まっていたのですが、アンテナで開発が再開されたのを知ったのでメモ。
arirang Ruby script というスクリプトをサポートしたりいろいろ機能拡張されているみたい。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

そろそろ徳丸本が発売されるそうなので、メモ。Webアプリケーションセキュリティの本はここしばらく出ていなかったので、どのようにまとまっているのか楽しみです。

SamuraiWTF 0.9.5

年末にWebペネトレーションテスト向けのLive CDディストリビューションであるSamurai Web Testing Frameworkがバージョンアップしていたんですね。あとでChangeLogを見てみておくか。