OWASP ZAPでwebアプリケーションの脆弱性診断

  • 3
    いいね
  • 0
    コメント

OWASP ZAPというツールでwebアプリケーションの脆弱性診断を実施した。

OWASP ZAPとは、「ZAP is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.」ということなので、プラットフォーム診断は別のツールで行う必要がありそう。

いろいろなテストの実行方法があるようだが、今回はブラウザのプロキシに設定してテストを実行した。

手順

ダウンロード&インストール

https://github.com/zaproxy/zaproxy/wiki/Downloads

上記からダウンロードし、インストール。今回はMacにインストールした。

証明書を設定

スクリーンショット 2016-11-04 午前9.08.17.png

ローカルプロキシ経由でSSLを利用しているサイトにアクセスする為に証明書をインストールする。
右ペインのSaveボタンをクリックし保存した証明書をブラウザにインストール。

起動しproxyの設定を確認

スクリーンショット 2016-11-04 午前8.59.23.png

デフォルトでは8080番ポートが指定されている。今回はそのまま利用した。

ブラウザのproxy設定

設定したローカルプロキシをブラウザに設定する。

テスト実施

proxyを設定したブラウザでテスト対象のサイトにアクセスし、テストしたいページを開く。

テスト結果の確認

下のAlertsペインに結果が表示される。

スクリーンショット 2016-11-04 午前9.00.11.png

公式へのリンク

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

https://github.com/zaproxy/zap-core-help/wiki