OWASP ZAP 2.6.0
2017年3月29日(水)の夜(日本時間)にOWASP ZAPの2.6.0がリリースされました。
ざっくりと見た限り、ツールの機能的には特別大きな更新はありませんが、Windows用のインストーラーがガラッと変わりました。
見た目だけの変更なら良いのですが、途中で、OWASP ZAPの使用方法に詳しくないと何を選択してよいかわからない場面があるので記事を起こしてみました。
Windowsインストーラーのダウンロード
次のサイトでWindows用インストーラをダウンロードします。
正常にダウンロードが完了したら、ダウンロードしたファイル(64bit版はZAP_2_6_0_windows.exe。32bit版であればZAP_2_6_0_windows-x32.exe)を実行します。
ライセンス契約
OWASP ZAPのライセンス契約については、バージョン2.5.0まではインストール後の初回起動時に、ライセンス契約を承認するかどうかを選択するダイアログが表示されていました。
2.6.0ではダイアログがWindowsインストーラーに組み込まれています。
前出の「セットアップ - OWASP Zed Attack Proxy 2.6.0」ダイアログで【次へ】ボタンをクリックすると、次のダイアログが表示されます。
「承認する」を選択して【次へ】ボタンをクリックしてください。
インストールは続く...
ここからしばらくはWindowsでおなじみのインストール風景が続きます。
Check for Updates
次のダイアログが、本記事を書こうと思ったきっかけです。
チェックボックスがズラッと並んでる上に、まったく日本語に翻訳されていないので、威圧感がハンパないです。
ひとつひとつ説明していきます。
"Check for Updates on startup"
このチェックボックスにチェックを入れると、OWASP ZAPを起動するたびに、本体やアドオンが更新されているかどうかを公式リポジトリに問い合わせます。
本体の更新は、新機能の追加の他に、アプリの不具合や脆弱性の解消のために実施されることがあります。
そのため、このチェックボックスは必ずチェックしておきましょう。
なお、インストール時にチェックし忘れても大丈夫です。OWASP ZAP起動後でも本設定を変更することが可能です。
"ZAP Releases"
- "Automatically download new ZAP releases"
- これにチェックを入れると、更新されたZAP本体のダウンロードが自動的に開始されます。
"Add-on updates"
- "Check for updates to the add-ons you have installed"
- 既にインストールされているアドオンの更新状況を公式リポジトリに問い合わせます。問い合わせて更新されているかどうかを表示するのみです。
- "Automatically install updates to the add-ins you have installed"
- 更新が確認されたインストール済みのアドオンを自動的にインストールします。
- "Auromatically install updates to the scanner rules you have installed"
- 更新が確認されたインストール済みのスキャナルールを自動的にインストールします。
"New Add-ons"
- "Report new release quality add-ons"
- 新しい「リリース版」のアドオンを報告します。自動的にインストールすることはありません。
- "Report new beta quality add-ons"
- 新しい「ベータ版」のアドオンを報告します。自動的にインストールすることはありません。
- "Report new alpha quality add-ons"
- 新しい「アルファ版」のアドオンを報告します。自動的にインストールすることはありません。
インストールの続き...
あとは淡々と粛々とインストールを進めるだけです。
インストール時に "Check for Updates" し忘れても大丈夫!
OWASP ZAPが起動したら、「ツール」→「オプション」と辿って表示されるダイアログの「アップデートのチェック」を選択してください。
すると、インストール時には英語だった説明が日本語化された状態で表示されます!!
インストール時にOWASP ZAP本体更新のチェックを入れ忘れた方は、ここで確実にチェックしておきましょう!
起動時に更新を確認する場合の注意
OWASP ZAP本体やアドオンの更新を起動時に確認する設定になっている場合、インターネット経由で公式リポジトリにアクセスしますが、OWASP ZAPの「ネットワーク」の「プロキシ・チェイン利用」設定がインターネット経由の通信に影響します。
「ツール」→「オプション」→「ネットワーク」の中にある「外部プロキシサーバ利用」にチェックが入っていると、通信に失敗することがあるため、更新確認時に通信エラーが発生した場合は、この設定を確認してください。
次の画像は、更新時の通信に失敗した場合に表示されるダイアログです。