LoginSignup

This article is a Private article. Only a writer and users who know the URL can access it.
Please change open range to public in publish setting if you want to share this article with other users.

More than 3 years have passed since last update.

@koujimatsuda11(松田 康司)

OWASP ZAP2.9.0で脆弱性診断をする - Man-in-the-middle proxy(中間者プロキシ)の使い方

Posted at

Man-in-the-middle proxy(中間者プロキシ)

ZAPは中間者プロキシです。ブラウザとWebアプリの間に位置し、全てのリクエストとレスポンスを確認することができます。

Manual Exploreやspiderを通じて構成されたサイトタブには、その時のリクエストやレスポンスの内容が保存されています。サイトタブでページを選択するとリクエストタブにリクエスト内容が表示されます。
スクリーンショット 2020-05-02 22.58.03.png

レスポンスタブをクリックすると表示されます。
スクリーンショット 2020-05-02 22.58.08.png

また、breakpointsを活用すると送信前リクエストを変更し、様々な手動テストを行うことができます。

実際にHUDを使用して、リクエストを変更してみます。

<手順>
1. クイックスタートタブのManual ExploreからEnable HUDをチェックして、Browserを起動
2. 目的の画面にアクセスして、左の上から2段目のアイコンをクリックしてBreakをONにします
3. ブラウザで操作をしてリクエストします。
4. 表示されたダイアログでリクエストを編集し、Stepをクリックします
5. レスポンスを確認します

BreakをONにします
スクリーンショット 2020-05-02 22.28.32.png
ONになったので、Emailとパスワードを入力してLog inします
スクリーンショット 2020-05-02 22.28.46.png
Breakしたリクエストです。上の段がヘッダで、下の段がボディです。テキスト形式で全て変更できます。
スクリーンショット 2020-05-02 22.33.51.png
返ってきたレスポンスです。上の段がヘッダで、下の段がボディです。
スクリーンショット 2020-05-02 22.41.54.png

手順4で、ContinueをクリックするとBreakを終了しブラウザに結果が表示されます。Dropをクリックするとそのリクエストを破棄します。

0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin