OWASP(Desktop)を用いたフルスキャン
基本以下でまとまってる
流れの概略(躓いた際のメモも付記)
プロキシ設定
- 今回はローカル環境で実施したため、ローカルホストを設定
(インターネット上に開発環境があるケースでは、リバースプロキシが必要)
モード設定
- プロテクトモードに設定(コンテキストに登録したサイトのみを攻撃する)
- 標準モードでは管理外の外部サイトをスパイダーした際に攻撃する可能性がある⇒危険
詳細は以下が丁寧
ターゲットサイトをFireFoxで開き、一通りの操作を行う
- OWASP ZAPのGUIのFireFoxは使わない ⇒ Webアプリケーションの特定の機能が使えなかったりする
- ブラウザのFireFoxを開き、ローカルプロキシを手動で設定
- スパイダーによるページ漏れを回避するため、一通りの操作を手動で実施する必要がある
ターゲットサイトに認証が必要な場合
- 筆者のケースでは、フォーム認証が必要であった
- 以下を参考に、Form based authenticationの設定を実施
- 重要な観点は以下の通り
- 認証用パラメタ(userID, password)
- ユーザ登録
- セッション管理
攻撃前の事前設定
- コンテキストに設定
- 設定すると、アイコンに赤丸が表示
診断対象の確認
- 対象コンテキストを選択⇒スパイダーを実行
- 診断対象のサイトリストを取得。裏でクローリングしてくれる