はじめに
OwaspZapを初めて使い、色々検証しながら使い方を学んでいます。
しかし、思った通りにいかないことが多い印象です。
今回もうまくいかないことがあったためまとめたいと思います。
また、結論から述べますと根本的解決には至っておらず別の方法を利用して解決しています。
問題
以下のサイトを参考に自動認証の設定をしました。
†OWASP ZAP入門-設定から診断まで-†
OWASP ZAP 2.3 自動認証機能の設定
行った設定は主に以下となります。
- コンテキストにURLを含める (先頭に\Q末尾に\Eを追加して.*を消す)
- 認証をForm-based Authenticationに変更
- Login Form Target URLにログインページのURLを載せる
- URL to GET Login Pageに3と同じURLを設定
- Login Request POST DataにPostするパラメーターを設定 (2要素まで)
- Username ParameterにPostする要素を設定
- ログイン状態をOwaspに理解させるため、Regexを設定します。
5.6に関しては
user[login]=login & user[password]=passwordとしたとき、user[login]に渡すパラメータとしてloginをこの後設定することを意味しています。また、Username Parameterはuser[login]を設定しておくことでユーザーを作成したときに設定した値をloginに代入することができます。
3要素以上は別の方法をする必要があります。
7に関して
Logged in indicatorに文字列を指定し、その文字列がレスポンスに含まれない場合、再認証
Logged out indicatorに文字列を指定し、その文字列がレスポンスに含まれる場合、再認証
となっています。
- ユーザーから追加を押して新規ユーザーを設定します。(ログインとパスワードを入れる)
- 再認証をオンにする (ツールバーの南京錠マークをクリック)
そのあと動的スキャンを行います。動的スキャンするのはログイン後のページです。ユーザーは先ほど作成したユーザーにします。
スキャンするページは認証しないでアクセスするとサインページにリダイレクトされるように設定してあります。
ここで動的スキャンをすると、302が返ってきてログインページにリダイレクトされていることが、レスポンスのBodyの内容からわかります。
<html><body>You are being<a href="http://localhost:3000/users/sign_in>redirected</a>.</body></html>
自動認証ができていれば200が返ってくるはずです。
原因
おそらくですが、アンチCSRFトークンが原因となっています。
OWASP ZAP2.9.0で脆弱性診断をする - アンチCSRFトークンを設定する
解決方法
今回は自動認証を用いないで、手動の認証をしたあとそのセッションを利用するManual Exploreを利用しました。
アンチCSRFトークンの設定や有効もしましたができませんでした。。代替え手段で対応します。
この方法は、OwaspZapで起動したFireFoxで直接サイトにログインすることで認証せずに動的スキャンできるというものです。
リクエスト・レスポンスの横にある緑+マークを押してクイックスタートを押します。
Manual Exploreをクリックします。
Lanch Brawserをクリックします (FireFoxのところをChromeに変えることもできます)
そのあと、ブラウザが開くのでログインをした後に、スキャンしたいページすべてにアクセスします。
ポイントは、アクセスしたページにしかセッションが残らないため、200にならないということです。
また、OwsapZapでなく、PCにインストールされたFireFoxでアクセスしても動的スキャンのマニュアル認証でセッションを利用できません。OwaspZapのManual Exploreからアクセスします。
そのあと、認証がマニュアル認証になっていることを確認して、動的スキャンを行います。
これで200となるはずです。
おわりに
OwaspZapは設定方法はかなり記事がありますが、そこから先の内容の記事がほぼないように思います。
また、スキャンをしましたが本当に正しくできているかわからんくなることもしばしばあります。
しっかり自信をもって使える人はもしかしたら少ないのかも知れません。簡単そうに見えて難しいです。