Windows
Security
zap
OWASP_ZAP

OWASP ZAP 2.6.0 のインストール方法(Windows)


OWASP ZAP 2.6.0

2017年3月29日(水)の夜(日本時間)にOWASP ZAPの2.6.0がリリースされました。

https://github.com/zaproxy/zaproxy/releases/tag/2.6.0

ざっくりと見た限り、ツールの機能的には特別大きな更新はありませんが、Windows用のインストーラーがガラッと変わりました。

見た目だけの変更なら良いのですが、途中で、OWASP ZAPの使用方法に詳しくないと何を選択してよいかわからない場面があるので記事を起こしてみました。


Windowsインストーラーのダウンロード

次のサイトでWindows用インストーラをダウンロードします。

https://github.com/zaproxy/zaproxy/wiki/Downloads

image

正常にダウンロードが完了したら、ダウンロードしたファイル(64bit版はZAP_2_6_0_windows.exe。32bit版であればZAP_2_6_0_windows-x32.exe)を実行します。

image

image


ライセンス契約

OWASP ZAPのライセンス契約については、バージョン2.5.0まではインストール後の初回起動時に、ライセンス契約を承認するかどうかを選択するダイアログが表示されていました。

2.6.0ではダイアログがWindowsインストーラーに組み込まれています。

前出の「セットアップ - OWASP Zed Attack Proxy 2.6.0」ダイアログで【次へ】ボタンをクリックすると、次のダイアログが表示されます。

image

「承認する」を選択して【次へ】ボタンをクリックしてください。


インストールは続く...

ここからしばらくはWindowsでおなじみのインストール風景が続きます。

image

image

image

image

image


Check for Updates

次のダイアログが、本記事を書こうと思ったきっかけです。

チェックボックスがズラッと並んでる上に、まったく日本語に翻訳されていないので、威圧感がハンパないです。

ひとつひとつ説明していきます。

image


"Check for Updates on startup"

このチェックボックスにチェックを入れると、OWASP ZAPを起動するたびに、本体やアドオンが更新されているかどうかを公式リポジトリに問い合わせます。

本体の更新は、新機能の追加の他に、アプリの不具合や脆弱性の解消のために実施されることがあります。

そのため、このチェックボックスは必ずチェックしておきましょう。

なお、インストール時にチェックし忘れても大丈夫です。OWASP ZAP起動後でも本設定を変更することが可能です。


"ZAP Releases"


  • "Automatically download new ZAP releases"


    • これにチェックを入れると、更新されたZAP本体のダウンロードが自動的に開始されます。




"Add-on updates"


  • "Check for updates to the add-ons you have installed"


    • 既にインストールされているアドオンの更新状況を公式リポジトリに問い合わせます。問い合わせて更新されているかどうかを表示するのみです。



  • "Automatically install updates to the add-ins you have installed"


    • 更新が確認されたインストール済みのアドオンを自動的にインストールします。



  • "Auromatically install updates to the scanner rules you have installed"


    • 更新が確認されたインストール済みのスキャナルールを自動的にインストールします。




"New Add-ons"


  • "Report new release quality add-ons"


    • 新しい「リリース版」のアドオンを報告します。自動的にインストールすることはありません。



  • "Report new beta quality add-ons"


    • 新しい「ベータ版」のアドオンを報告します。自動的にインストールすることはありません。



  • "Report new alpha quality add-ons"


    • 新しい「アルファ版」のアドオンを報告します。自動的にインストールすることはありません。




インストールの続き...

あとは淡々と粛々とインストールを進めるだけです。

image

image

image

image


インストール時に "Check for Updates" し忘れても大丈夫!

OWASP ZAPが起動したら、「ツール」→「オプション」と辿って表示されるダイアログの「アップデートのチェック」を選択してください。

image

すると、インストール時には英語だった説明が日本語化された状態で表示されます!!

インストール時にOWASP ZAP本体更新のチェックを入れ忘れた方は、ここで確実にチェックしておきましょう!

image


起動時に更新を確認する場合の注意

OWASP ZAP本体やアドオンの更新を起動時に確認する設定になっている場合、インターネット経由で公式リポジトリにアクセスしますが、OWASP ZAPの「ネットワーク」の「プロキシ・チェイン利用」設定がインターネット経由の通信に影響します。

「ツール」→「オプション」→「ネットワーク」の中にある「外部プロキシサーバ利用」にチェックが入っていると、通信に失敗することがあるため、更新確認時に通信エラーが発生した場合は、この設定を確認してください。

image

次の画像は、更新時の通信に失敗した場合に表示されるダイアログです。

image