Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
5
Help us understand the problem. What is going on with this article?
@9rq

MacでOWASP ZAPを使えるようにするまで

More than 1 year has passed since last update.

CTFを始めるにあたりOWASP ZAPを新しいPCにインストールしました。
2度目にも関わらず詰まったのでメモを残します。

OWASP ZAPは通信の内容を確認したり書き換えるためのローカルプロキシとして利用していきます。

環境

version
OWASP ZAP 2.9
macOS Catalina 10.15.4


% java --version
openjdk 11.0.2 2019-01-15
OpenJDK Runtime Environment 18.9 (build 11.0.2+9)
OpenJDK 64-Bit Server VM 18.9 (build 11.0.2+9, mixed mode)

Javaが必要との記事を複数ありますが、インストール済みであったため確認していません。

OWASP ZAPのインストール

公式サイトからダウンロード
あるいはbrew cask install owasp-zapでも可です。

使用ブラウザ

私は普段safariを利用しているため、CTF用のブラウザとしてFirefoxを使用します。
Firefoxだと、ローカルプロキシの設定がFirefox内で完結するので便利です。

ローカルプロキシの設定

まずはポート(=port)の指定をします。
なんでも大丈夫ですが、他と被ることのないものを選びましょう。(e.g. 55555)

Firefox

設定>一般>ネットワーク設定>接続設定
手動でプロキシーを設定するを選択
HTTPプロキシー:localhost
ポート:port

OWASP ZAP

ツール>オプション>ローカルプロキシ
Address:localhost
ポート:port

オレオレ証明書の設定

自分で自分を証明し、それを自分で確認するというなんとも不合理な証明書を設定します。

OWASP ZAP

ツール>オプション>ダイナミックSSL証明書
保存を選択しファイルとして保存する

Firefox

設定>プライバシとセキュリティ>セキュリティ>証明書>証明書を表示認証局証明書>読み込む...
先ほど保存した証明書を選択すると、OWASP Zed Attack Proxy Root CAが追加されます。
この認証局によるウェブサイトの識別を信頼するにチェック(忘れるとFirefoxに止められる)

その他設定

OWASP ZAP

ツール>オプション>HUD
Enable when using the ZAP Desktopのチェックを外す

以上で使えるようになりました。

5
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
9rq
趣味です。

Comments

No comments
Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account Login
5
Help us understand the problem. What is going on with this article?