OWASP ZAP
無料でWebアプリケーションの脆弱性を診断できるアプリ
手順
Java 8 以上をインストール(OWASP ZAPの 2.8.0以上を動かすために必要なため)
OWASP ZAP をインストール
JDKのインストール
aptコマンドでJDKをインストールする。
$ sudo apt install default-jre openjdk-11-jre-headless
念の為Javaのversionを確認
8以上が入っていたらOK
$ java -version
openjdk version "10.0.1" 2018-04-17
OpenJDK Runtime Environment (build 10.0.1+10-Ubuntu-3ubuntu1)
OpenJDK 64-Bit Server VM (build 10.0.1+10-Ubuntu-3ubuntu1, mixed mode)
OWASP ZAPのインストール
前述のリンクから"Linux Package"をインストールする。
インストールしたファイルを解凍
$ tar xvfz ~/Downloads/ZAP_2.8.0_Linux.tar.gz
ZAPは zap.shを呼び出して起動できる。
ZAPを起動
解凍したZAPのディレクトリに移動
$ cd ~/ZAP_2.8.0
$ sh ./zap.sh
無事ZAPが起動できた!!
実際にOWASP ZAPを使って脆弱性診断
簡易スキャン
下記の画像の簡易スキャン(Automated Scan)をクリックする。
脆弱性を診断したい自分の保持しているWebサイトのURLを入力して攻撃ボタンを押す。
Webサイトの規模により実行時間は異なるが、脆弱性が見つかれば警告欄に問題になっているURLと脆弱性の種類が報告される。
静的スキャン
先程のクイックスタート画面から静的スキャン(Manual Explore)をクリックする。
自分の保有しているWebサイトのURLをクリックして
ブラウザを起動する(Launch Browser)ボタンをクリックする。
するとZAP経由でブラウザが開き、先程入力したURLにアクセスされる。そこで、実際にWebサイトのリンクをクリックしたり、様々な操作を行う。そこで行った操作に対してZAPが脆弱性を検出していく。
検出された脆弱性は簡易スキャンと同じように警告欄に表示される。
動的スキャン
画像の"Sites"以下から自分の保有しているWebサイトのURLを探し、右クリック、攻撃(Attack)、動的スキャン(Active Scan)を選択する。
するとダイアログが表れるのでStart Scanを実行する。
静的スキャンを行った結果を元にZAPが動的にスキャンしてくれる。簡易スキャンに比べて膨大な量のリクエストが送られる。