本記事の対象読者
本記事は脆弱性を再現するためにリクエストの書き換えが必要になった方で、TCP/IPやhttpなど一定の知識がある読者を想定しています。
本記事を読んでも不明な場合は開発会社様もしくは診断会社様に委託することをご検討ください。
おことわり
- 本記事にはセキュリティ上のリスクや障害を起こすリスクのある操作が含まれます、読者の責任において行ってください。特に業務環境など管理権限を持っていない環境では責任者の承認を得てください。筆者は一切の責任を負いかねます。
- ZAPはバージョンアップにより外観や設定、操作が変わることがあります、本記事はバージョン2.16.0で作成しています。
使用するソフトウェア
| 説明 | |
|---|---|
| Firefox | リクエストの送信用に使用します。プロキシ設定でリクエストをZAPに経由させます。httpsエラーを防ぐためZAPの証明書をインストールする必要があります。 |
| ZAP | プロキシとして動作し、Firefoxからのリクエストを中継します。中継を保留することでリクエストを書き換えることができます。 |
ZAPのインストール
公式サイトからダウンロードしインストールします。必要に応じてJavaもインストールしてください。
Firefoxのインストール(推奨)
Firefoxをインストールします。Firefoxを既に別の用途で使用している方は別のプロファイルを作成して別プロファイルで以降の設定を行ってください。
ChromeやEdgeでもできますが、普段使っているブラウザの同一プロファイルを使用するのは避けた方が無難です。
設定
ZAP
-
ZAPを起動します。
-
内部プロキシで使用するルート証明書を生成します、OKを押して次の画面へ進んでください。
-
Server Certificatesの画面が開きますので「保存」を押し、生成されたルート証明書を任意の場所に保存します。
-
Network-Local Servers/Proxysで内部プロキシに使用するポートを指定してOKを押します。現在使用していないポートであれば何でも構いません。(バージョン2.16.0のデフォルトは1234でした)
-
証跡を保存するかどうかの選択画面が開きます、再現を確認するうえで保存は必須ではありませんので好きなものを選んでください。
Firefox
FirefoxのProxy設定を行います。
- HTTPプロキシにIPアドレスを127.0.0.1、上記ステップで設定したポート(1234など)を設定します。
- 「このプロキシーをhttpsでも使用する」にチェックを入れます。
- FirefoxでGoogleにアクセスします、この画面もしくはGoogleの画面が正常に表示された場合はプロキシ設定が誤っています。
- この画面が出た場合、ここまでのステップは正常です。
- ZAPの設定ステップで保存したルート証明書をインポートします。
- 証明書のインストール後、再度Googleにアクセスしてエラーが出なくなれば設定は完了です。
リクエストの書き換え
-
検証したい機能のHTTPリクエストが送信される直前の画面までFirefoxで移動します。
-
ZAPで「ツール - すべてのリクエストのブレークを切り替え」を選択(またはCTRL+B)します。
-
Firefoxで検証したいリクエストを送信します、初回はリクエストの送信を保留した際にZAPを前面に表示するか聞かれますので好きな方を選択してください。
-
ZAPで右上のウィンドウに表示されているのが送信を保留しているリクエストです、書き換え対象のリクエストでない場合は目的のリクエストが表示されるまで「ツール-サブミットして次のリクエストかレスポンスへ移動」を選択(またはCTRL+S)してください。目的のリクエストが表示されない場合はリクエストが送信される条件を何らかの理由で満たしていません。
-
目的となるリクエストが表示されたら、上のウィンドウで直接リクエストを書き換えます。(この例ではUser-Agentの末尾に"ngkwtys"を追加)
-
他のリクエストも書き換える必要がある場合は「ツール-サブミットして次のリクエストかレスポンスへ移動(CTRL+S)」で次のリクエストに移ります。
-
他に書き換えるリクエストが無い場合は「ツール-Submit and Continue to Next Break Point(CTRL+C)」を選択すると残りのリクエストすべてが送信されます。以上でリクエストの書き換えは完了です。
Q&A
- コメントする前にChatGPTやClaudeに聞いてみてください。