OWASP ZAPというツールでwebアプリケーションの脆弱性診断を実施した。
OWASP ZAPとは、「ZAP is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.」ということなので、プラットフォーム診断は別のツールで行う必要がありそう。
いろいろなテストの実行方法があるようだが、今回はブラウザのプロキシに設定してテストを実行した。
手順
ダウンロード&インストール
上記からダウンロードし、インストール。今回はMacにインストールした。
証明書を設定
ローカルプロキシ経由でSSLを利用しているサイトにアクセスする為に証明書をインストールする。
右ペインのSaveボタンをクリックし保存した証明書をブラウザにインストール。
起動しproxyの設定を確認
デフォルトでは8080番ポートが指定されている。今回はそのまま利用した。
ブラウザのproxy設定
設定したローカルプロキシをブラウザに設定する。
テスト実施
proxyを設定したブラウザでテスト対象のサイトにアクセスし、テストしたいページを開く。
テスト結果の確認
下のAlertsペインに結果が表示される。
