LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@bass(伊藤 雄大)

OWASP ZAPの使い方

Posted at

無償で使用できるWebアプリケーション脆弱性ツールのOWASP ZAPのインストール方法などについて備忘兼ねて記述

1.インストール
 (1)以下のURLからインストーラをダウンロード
   https://github.com/zaproxy/zaproxy/wiki/Downloads

 (2)ダウンロードしたインストーラを起動
   image.png

   image.png

   image.png

   image.png

   image.png

2.OWASP ZAPの設定
 (1)ローカルプロキシの設定
   「ツール」>「オプション」でダイアログを開き、左ペインでローカル・プロキシを選択する
   image.png

   ここでポート番号に「55555」を指定する。(8080だとかぶる可能性があるため)

 (2)外部プロキシの設定(プロキシ利用の場合)
   左側ペインのネットワークを選択する

   image.png

   開発環境にプロキシが設定されていれば、「外部プロキシサーバ利用」をチェックし、アドレス、ポートにプロキシサーバーの情報を入力する

 (3)スパイダーの設定
   左側ペインのスパイダーを選択する

   image.png

   今回は以下の通り設定した
    ・「クロールする最大の深さ」:15~19程度
    ・「並列スキャンスレッド数」:1
    ・「新しいURIのSVNのメタデータを解析」:ON
    ・「新しいURLのGitのメタデータを解析」:ON
    ・「OData固有のパラメータを処理」:ON

 (4)動的スキャンの設定
   左側ペインの動的スキャンを選択する

   image.png

   今回は以下の通り設定した
    ・並列スキャンするホスト数:1
    ・並列スキャンスレッド数:1
    ・スキャン中にミリ秒単位の遅延:1000

 (5)スキャンポリシーの設定
   「ポリシー」>「スキャンポリシー」を選択しダイアログを表示する

   image.png

   追加ボタンを押下

   image.png

   今回は以下の通り設定した
    ・ポリシー:任意の名称
    ・適用:Off→開始ボタン押下
    ・適用:低→開始ボタン押下

   左側ペインのインジェクションを選択

   image.png

   今回は以下の通り設定した
    ・SQLインジェクション:しきい値「低」、強度「低」
    ・クロスサイト・スクリプティング(反射型):しきい値「低」、強度「低」

   一度OKボタンを押下して再度ダイアログを表示して確認する

   image.png

3.オートスキャンの実行
  image.png

  Automated Scanボタンを押下

  image.png

  以下の通り設定
   ・URL to attack:検索するサイトへのURL
   ・Use ajax spider:Chromeを選択

  「攻撃」ボタンを押下してスキャン実行
   

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?