OWASP ZAPで脆弱性診断してみる

5年以上前に一度試したことがあったものの、久々にやってみようとして色々と忘れてしまっていたので、今後の為にも書き記しておくことにします。

Javaのダウンロード&インストール

Access Denied

上記ページから「すべてのJavaのダウンロードを表示します。」のリンクをクリックし、「Windows オフライン (64ビット)」を選択します。※Windows 64bitの場合

最初、ダウンロードページTOPからダウンロードしたものをインストールしたところ、OWASP ZAPをインストール出来ませんでした。何か違うのかもしれません。

OWASP ZAPのダウンロード&インストール

The ZAP Homepage
Welcome to ZAP!

OWASP ZAPの設定

ツールからオプションを選択します。

HUD

“Enable when using the ZAP Desktop”のチェックを外します。これにチェックが入っていると、ローカルのサイトでhttpに接続しても強制的にhttpsで接続されるからです。

ローカル・プロキシ

Addressにlocalhost、ポートに8080を入力します。ポートは既に使用されていなければ(wellknownポート以外なら)別のポートでも問題ありません。

ブラウザの設定(Firefox)

例としてFirefoxの場合で説明します。設定画面から一般を選択し、ネットワーク設定を開きます。

“手動でプロキシーを設定する”を選択し、HTTPプロキシーにlocalhost、ポートにOWASP ZAPで設定したポート(ここでは8080)を入力、”このプロキシーをHTTPSでも使用する”にチェックします。

ウェブブラウジング

ブラウザで対象のサイトにアクセスします。

OWASP ZAPでの操作

  1. 左上のモードを「プロテクトモード」に変更します。(コンテキストに追加したサイト以外に攻撃してしまわないようにする)
  2. 左上ペインの”サイト”にURLが追加されるので右クリックでNewコンテキストに追加します。
  3. サイトURLのツリーから対象のものに対して右クリック→攻撃「スパイダー」を選択してページ構造を取得します。
  4. サイトURLのツリーから対象のものに対して右クリック→攻撃「動的スキャン」を選択して攻撃を実行します。
  5. メニューからレポートを生成して内容を確認します。

診断方法について

ウェブサイトの構造や仕様によって診断方法は変わってくるかと思いますが、私自身もまだ完全に理解出来ていません。公式ドキュメントを読んでいくしかないようです。

その他診断ツール

Burp Suiteというツールもあります。こちらは有償版と無償版があります。(無償はCommunity Edion)

Burp Suite - Application Security Testing Software
Get Burp Suite. The class-leading vulnerability scanning, penetration testing, and web app security platform. Try for fr...
タイトルとURLをコピーしました