システム開発では必ずセキュリティが求められます。
特に不特定多数の人が利用するWebアプリケーションは、セキュリティ対策が重要となります。
Webアプリケーションに脆弱性があれば、攻撃者に狙われる隙が生まれてしまい、不正アクセスされたり、個人情報・機密情報の漏えいなどの被害が生じる恐れがあります。
このようなことが発生すると、損害賠償の発生や社会的信用の低下により、事業継続が難しくなる恐れがあります。
こうした被害を未然に防ぐために、Webアプリケーションの脆弱性診断が重要となります。
今回ご紹介するのはセキュリティを高めるために必要な脆弱性診断をするためのツールをご紹介します。
OWASP ZAP(オワスプ ザップ)とは
OWASP ZAP(The Open Web Application Security Project Zed Attack Proxy)とは、Webアプリケーションのセキュリティ向上のためにドキュメントやツールを無償で提供している非営利団体OWASP(The Open Web Application Security Project)が提供されている無償のWebアプリケーションの脆弱性診断ツールです。
Webアプリケーション脆弱性診断は、「手動診断」もしくは「自動診断」で脆弱性を診断することが出来ます。
OWASP(オワスプ)とは
OWASP(The Open Web Application Security Project)とは、Webアプリケーションのセキュリティ向上のためにドキュメントやツールを無償で提供している非営利団体のことです。
OWSPは様々なドキュメントやツールがあり、特にその中でも下記のドキュメントやツールが有名です。
・OWASP ZAP : Webアプリケーション脆弱性診断ツール
・OWASP Top 10 : 組織が直面している最も重大なリスクのトップ10
・OWASP Development Guide : Webアプリケーション開発のガイドライン
・OWASP Cheat Sheet : Webアプリケーションへの攻撃方法例のドキュメント
・OWASP BWA : 意図的に脆弱性が存在するWebサーバが構築されている仮想マシン
手動診断とは
手動診断とは、利用者自身が手を動かして脆弱性可否を判断します。
OWASP ZAPはプロキシサーバの機能を持っていますので、クライアントのプロキシサーバの設定をOWASP ZAPにすることで、指定することでWebページへの送受信の内容を確認できます。
また、送信データを変更して、再送する機能がありますので、パラメータを変更して再度Webページにデータを送ることができます。
自動診断とは
自動診断とは、ツールが一定のパターンの通信を自動で送ることで脆弱性可否を判断します。
OWASP ZAPでは下記のように様々な脆弱性を自動で検出できます。
・CRLFインジェクション
・Server Side Code Injection
・SSIインジェクション
・バッファオーバーフロー
・パラメータ改ざん
・OSコマンドインジェクション
・書式文字列エラー
・ディレクトリトラバーサル
・リモートファイルインクルージョン
OWASP ZAPのインストール
今回インストールするのが、64bitのWindowsを前提とします。
下記がインストール手順となります。
1、Java SE Development Kitから、最新バージョンの
「x64 Installer」をダウンロードします。
2、OWASP ZAPから、最新バージョンの「Windows (64) Installer」をダウンロードします。
3、ダウンロード後、インストーラーを実行します。
4、インストーラー起動後、「次へ」ボタンを押します。
5、規約の確認画面が表示されたら、「承認する」を選択し、「次へ」ボタンを押します。
6、インストール形式の選択画面が表示されたら、「標準インストール」を選択し、「次へ」ボタンを押します。
7、最終確認画面が表示されたら、「インストール」ボタンを押し、インストールを実行します。
8、インストールが完了したら、「終了」ボタンを押し、インストールは完了です。
最後に
脆弱性のあるサイトが用意されていますので、OWASP Juice Shopのオンラインデモを対象に脆弱性診断を試しましょう。
昨今サイバー攻撃の手口は日々進化しているため、OWASP ZAPなどを用いて定期的なチェックを行うようにしましょう。