前提
1: OWASP ZAPはJavaで記述されているため、PCにJava実行環境(JRE)が設定されていること
2: オラクルのVirtual boxをインストール
3: 下記参考図書にある、VM環境ファイルやjsonファイルを入手(すぐ試したい方は本購入お勧め)
OWASP ZAPとは
OWASP ZAP (OWASP Zed Attack Proxy) はOWASP(The Open Web Application Security Project)が開発・公開しているWebアプリケーション脆弱性診断用ツールで無償で公開されている。
OWASP ZAP はご利用のPCでプロキシとして動作し、HTTP通信を観察したり、変更したりすることができる。
JREインストール
https://java.com/ja/download/manual.jsp
既に設定されているため説明省きます
OWASP ZAP インストール
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
OWASP ZAP の起動~設定
ツールからオプションを開く
Addressは、localhost
ポートは58888
OKでオプション画面閉じる
*
Firefox起動
Firefox のアドオン拡張FoxyProxy-Standardのインストール
https://addons.mozilla.org/ja/firefox/addon/foxyproxy-standard
http://example.jp/ アクセス
設定の確認
Firefox オプションの設定
URL叩く
あとは、いろいろ試して遊んでみよ!!
所感
Proxy設定ではまるため、よく本を読み返して理解すれば1時間あれば、ここまではできる
参考
「体系的に学ぶ、安全なWebアプリケーションの作り方 第2版」徳丸浩