はじめに
みなさまこんにちは!daimyo404です!
セキュリティ問題が色んなところで起こっている昨今、脆弱性の見直しをしている方も多いのではないでしょうか。
その際、よく脆弱性診断なるものをやっているかと思います。具体的にどんなことをしているのか知りたかったのでやってみたのですが、参考にしたサイトからはGUIが変わってたり、ちょっと手間取ったところもあったのでメモ。
OWASP ZAPとは
オープンソースのWeb向けのセキュリティスキャナーで、OWASPというコミュニティが提供しています。今回はこれを使って脆弱性診断をやってみます。
手順
- OWASP ZAPをインストール
- OWASP ZAPの起動、設定
- FireFoxの設定(プラグイン導入)
- 診断!!
手順1:OWASP ZAPをインストール
ここよりダウンロード(あんまり躓く人も少ないと思うのでサクッとインストール)
手順2:OWAPS ZAPの起動、設定
インストールが完了したら、OWASP ZAPを起動します。そして、他のアプリケーションとポートが競合するのを防ぐため、ポートの設定を変更してあげます。
左上のメニューの「ZAP」->「Preference」を押下、オプションの画面が開いたら、左ペインの「ローカル・プロキシ」を押下、ポートを適当に変更して、「OK」を押します。
手順3:FireFoxの設定(プラグイン導入)
診断にあたり、WebブラウザはFireFox、また、FoxyProxyというプラグインを導入すると、2クリックでプロキシを切り替えできるので、今回はその方法でやります。
まずFireFoxを起動。(インストール未済の方はダウンロードから)右上のハンバーガーマークよりアドオンを押下する。
検索窓があるので、「FoxyProxy Standard」と検索してアドオンを導入。
アドオンの設定を開く。
Addを押す。
タイトルと★マークの箇所を入力してSave(ProxyTypeはHTTP、Usernameとか他のoptionalは空白でOK)
これでサクッとプロキシの変更ができます。
手順4:診断!!
まず初めにモードをプロテクトモードにしましょう。
※診断対象以外に影響をさせないために必ず!
ここでおそらく左ペインの「サイト」配下にFireFoxで開いているWebページ(診断対象)が出ていると思うので、対象のサイトを右クリック -> 「コンテキストに含める」->「既定コンテキスト」をクリック。
左ペインの「コンテキストに含める」を押下、診断対象のURLを1クリックして、OKを押下する。
またも右クリックして、「攻撃」を押下!!(今回は動的スキャンを実施)
即席のHTMLしか置いてないサイトだったのですが、X-Frameオプションについての診断結果が出てました。
最後に
スクショいっぱい貼り付けたのでやってみてね!
参考サイト
Mac版のOWASP ZAPで脆弱性チェックの設定
OWASP ZAPというWebアプリの脆弱性診断ツールの使い方(入門編)