同僚から教わった脆弱性診断を別プロダクトでやってみたお話。

Posted at 2023-06-28

この記事はQiita Engineer Festa 2023 参加記事です。
Qiita運営さんのこの記事誰得？私しか得しないニッチな技術で記事投稿！企画への参加記事になります。
　

この記事で書くこと

OWASP ZAPを使って脆弱性診断をやってみた流れを書きます。
　

この記事で書かないこと

脆弱性診断の詳細や、OWASP ZAPの細かい使い方は書きません。

はじめに

脆弱性診断とは

お得意のChatGPTさんに聞いてみました。

脆弱性診断は、コンピュータシステムやソフトウェアに存在するセキュリティ上の欠陥や弱点を特定するプロセスです。脆弱性とは、悪意のある攻撃者によって悪用される可能性のある、システムやソフトウェアのセキュリティ上の穴や欠陥を指します。

脆弱性診断では、専門的なツールや手法を使用して、システムやソフトウェアに潜む潜在的な脆弱性を特定します。これには、システムの設定や構成の問題、ソフトウェアのバグや脆弱なコード、セキュリティポリシーの不備などが含まれます。

脆弱性診断の目的は、脆弱性を特定し、修正することでシステムやソフトウェアのセキュリティを向上させることです。診断結果に基づいて、修正やセキュリティ対策の改善が行われることで、悪意のある攻撃からシステムを保護することができます。

脆弱性診断は、定期的に実施することが重要です。新しい脆弱性が見つかる可能性や、システムやソフトウェアがアップデートや変更されることで新たな脆弱性が発生する可能性があるためです。定期的な診断を通じて、セキュリティ上のリスクを最小限に抑えることができます。

最終的な目標は、脆弱性のない安全なシステムやソフトウェアを構築することです。しかし、脆弱性は完全になくなることはありません。新たな脆弱性が常に現れるため、セキュリティの専門家は常に最新の情報やツールを利用し、脆弱性診断を継続的に行う必要があります。

何となく分かりましたね。

脆弱性診断を自分でやってみたきっかけ

弊社では、社内ルールで特定のタイミングで第三者機関の脆弱性診断をやっています。
しかし、この脆弱性診断では軽くウン百万円かかってしまったりします。
そのため、中規模・小規模リリースの時は内製で簡易的にテストできるといいな〜と思っていました。

以前、PMをやっていたプロジェクトにおいて、チームのめちゃくちゃ優秀な仲間が脆弱性診断をやってくれたことがあり、その仲間に教えてもらいながら自分でも診断をやってみよう！と思い、別プロダクトで診断に挑戦してみました。

同僚から教わった脆弱性診断を別プロダクトでやってみたお話。

今回は、OWASP ZAPというツールを使って診断を行います。

このツールは、Webサイトに対して 実際に攻撃をしかけながら脆弱性の有無を診断してい くツールです。
自身が開発に携わるサイト（原則、開発環境など）のみに使用しましょう。
　
自身・自社の本番サイトなどにテストを行うと、その影響からお客様などへご迷惑をおかけする可能性があります。
また、他社のサイトに対して実行すると、ご迷惑をおかけしてしまい、 法律的にも社会的にも大きな責任を取らなければいけない可能性が非常に高い です。

OWASP ZAPのインストール

OWASP ZAPのダウンロードページから、自身の環境に併せてダウンロード&インストールをします。

OWASP ZAPの起動

アプリから起動すると、最初にダイアログが出てくるので、一旦「継続的に保存せず、必要に応じてセッションを保存」を選んで、「開始」を押します。

そうするとメインの画面に到達します。

診断の開始

今回は、診断対象のページを自動スキャンにして、一括で診断したいので、「Automated Scan」を選択します。

診断するサイトの情報などを入力します。

項目	設定内容
URL to attack	診断対象をスキャンする際の初期ページのURLを入力
Use traditional spider	自動でクローリングさせたいので、チェックを入れる
Use ajax spider	クローリングさせないので、今回はチェックを入れない