自分だけのクイズを作成しよう - Quipha
個人開発
個人開発
作ってみよう
作ってみよう
プログラミング
プログラミング
Laravel
Laravel
スポンサーリンク

【OWASP ZAP】ログインページにスパイダー/動的スキャン

ツール他

当サイトではアフィリエイト広告を利用しています。

スポンサーリンク

はじめに

今回は、ログインが必要なページに対して、OWASP ZAPで脆弱性診断を行う手順をまとめました。

そのようなページは当然、ログインを行わないとアクセスできないため、OWASP ZAPで認証情報の設定が必要になります。

OWASP ZAPのインストール方法や、基本的な使い方は以下にまとめましたのでご覧ください。

【OWASP ZAP】インストールと基本的な使い方【Web脆弱性診断】
OWASP ZAPを使用して、Webの脆弱性診断を行ってみます。オープンソースで無料で使うことができます。
chigusa-web.com
2023/05/12

脆弱性の危険性を試した記事を以前まとめましたので、あわせてご覧ください。

【Laravel】敢えて試すSQLインジェクション【仕組みを知るには実装】
敢えてSQLインジェクションの脆弱性を含んだシステムを作成します。対策や仕組みを知るには実際に試してみましょう。人気のあるLaravelというフレームワークで試します。
chigusa-web.com
2023/05/12

Mac版のOWASP ZAPについては以下の記事をご覧ください。
本記事ではWindows版で解説していますが、使い方はMac版でも同様です。

【OWASP ZAP】インストールと使い方【M1 Mac】
Mac版のOWASP ZAPを使用して、Webの脆弱性診断を行ってみます。オープンソースで無料で使うことができます。
chigusa-web.com
2023/05/12
動作環境
  • ホスト端末:Windows 10
  • OWASP ZAP 2.11.0
  • Laravel Framework 8.69.0

他にも私のブログで、ツールについて解説している記事がありますのでご覧ください。

関連
【OWASP ZAP】インストールと基本的な使い方【Web脆弱性診断】
OWASP ZAPを使用して、Webの脆弱性診断を行ってみます。オープンソースで無料で使うことができます。
【OWASP ZAP】CSRF対策ページに脆弱性診断
CSRFの対策を行っているサイトに対して、OWASP ZAPを利用して脆弱性診断を行います。そのための設定や、実際に攻撃を行い動作確認を行いました。
【OWASP ZAP】高度なSQLインジェクション【アドオン追加】
OWASP ZAPのアドオンを追加して動的スキャンを行ってみます。
【Laravel】敢えて試すSQLインジェクション【仕組みを知るには実装】
敢えてSQLインジェクションの脆弱性を含んだシステムを作成します。対策や仕組みを知るには実際に試してみましょう。人気のあるLaravelというフレームワークで試します。
スポンサーリンク

【紹介】個人開発

私の個人開発ですがQuiphaというサービスを開発しました。(Laravel, Vue3など)
良かったら、会員登録して動作を試してみて下さい。

Quipha
問題・問題集の作成、自分だけのクイズで勉強ができる!
chigusa-web.com

また、Laravel 9 実践入門という書籍を出版しました。
Kindle Unlimitedを契約している方であれば、読み放題で無料でご覧いただくことができます

【Kindle本】Laravel 9 実践入門 を出版しました【Win/Mac対応】
「Laravel 9 実践入門: ~開発環境・実装・アプリ公開までの流れを完全網羅~」という書籍をKindleで出版いたしました。
chigusa-web.com
2022/10/14

是非多くの方に読んでいただき、Laravelの開発に少しでもお役に立てたら幸いです。

対象サイト

今回はLaravelログイン認証に対して、ログインが必要なページを用意し診断を行います。

Laravelで作成したサイトの認証に対して試しますが、基本的な手順はLaravel以外でも参考になると思います。

以下の記事の通り、Laravelを構築後、認証機能を導入したサイトを使用します。

【Laravel8/9/10】認証機能の導入 (Breeze)
Laravel8の認証機能(ログイン機構)を導入したいと思います。 シンプルで最小限の認証機能である、Breezeを導入します。 Laravelの導入から詳しく解説しています。
chigusa-web.com
2023/05/12

Laravelプロジェクトのサーバーを起動し、ログイン画面を開きます。

事前にログインアカウントを登録します。

ログインに必要な情報は、後ほどOWASP ZAPの設定で使用しますので、控えておきましょう。

ログインを行うと、ダッシュボード画面が表示されました。

このページは、ログインをしないと表示できませんが、OWASP ZAPでこのようなページに対して診断を行う場合は、認証情報の設定を行いログインが必要なページにアクセスできるようにします。

Laravelのログイン認証には、CSRFの対策が組み込まれているため、以下の設定も済ませておきましょう。

【OWASP ZAP】CSRF対策ページに脆弱性診断
CSRFの対策を行っているサイトに対して、OWASP ZAPを利用して脆弱性診断を行います。そのための設定や、実際に攻撃を行い動作確認を行いました。
chigusa-web.com
2023/05/12

基本的には、CSRF対策を行っているサイトの方が多いと思いますので、設定しておきましょう。

設定前に動作確認

ログインが必要なページに動的スキャンを行うためには、OWASP ZAPの設定が必要ですが、まずは設定せずに試してみましょう

ダッシュボードはログインしていないとアクセスできません。
そのページに対して動的スキャンを実施してみましょう。

スキャンを開始します。

動的スキャンの結果を確認しましょう。

1.ダッシュボードへのリクエストを確認しました。
2.レスポンスタブをクリックし、応答内容を確認します。
3.ログイン画面へリダイレクトされています。(ステータスコード:302)

これは認証情報がないためです。

その次の行の、ダッシュボードへのリクエストも確認しましょう。
ステータスコード:200が返ってきていますが、ダッシュボード画面ではなく、ログイン画面が返されています

1.ダッシュボードへのリクエストを確認しました。
2.レスポンスタブをクリックし、応答内容を確認します。
3.ログイン画面が返却されています。(ステータスコード:200)

つまり、ダッシュボード画面に対して脆弱性診断が行われていません。
引き続き、OWASP ZAPのログイン設定を行い、試してみましょう。

OWASP ZAPの設定

認証ユーザの追加

一度ログインを行うと、ログイン時のPOSTリクエストが残ります
そのPOSTリクエストを右クリックし、Flag as Context」→「既定コンテキスト:Form-based Auth Login Requestを選択します。

認証設定が開きました。

「ユーザ」メニューを開き、追加ボタンをクリックします。

有効なログイン情報を入力します。

ユーザが追加されました。

「Username Parameter」と「Password Parameter」を変更します。
Laravelの場合、それぞれ「email」と「password」です。
ここまで設定したら、一度OKボタンをクリックしましょう。

もう一度セッション・プロパティを開くには、上部にあるボタンをクリックします。

「Login Request POST Data」を以下のように変更しました。
再度開いた時点で、emailとpasswordは変更されていますが、_tokenは手動で変更しました。

_token={%_token%}&email={%username%}&password={%password%}

_tokenは、CSRF対策に使用するパラメータです。

認証済みチェック

診断時にアクセスしたページが、認証済みかどうか判断する設定を行います。
このページにアクセスできるということは、認証済みです。

右上にあるログアウトリンクがあれば、ログイン済みと判断できそうです。

指定した文字列がなければ、OWASP ZAPはログイン処理を行った後に、対象のページへアクセスするようになります。

HTMLタグを確認しました、以下のタグがログアウトのリンクでした。

this.closest('form').submit();">Log Out</a>

「Regex pattern used to identify Logged in messages」に、以下のように入力しました。

\Qthis.closest(‘form’).submit();”>Log Out\E

\Qは開始、\Eは終了文字です。

スポンサーリンク

ログインが必要なページに動的スキャン

設定が完了しましたので、ダッシュボードへ脆弱性診断を行いましょう。

動的スキャン時にユーザを選択します。

毎回指定するのも面倒なので、以下のボタンをクリックしておきます。
これを選択しておけば、動的スキャン時にユーザを選択する必要がありません

Forced User Modeでは、セッション・プロパティの「強制ユーザー」が使われます。

動的スキャンに戻りましょう。
今度はステータスコード:302は返らず、ダッシュボード画面に対して攻撃ができました。
レスポンスにはログアウトのリンクが含まれているのが確認できます。

ログインが必要なページにスパイダー

ダッシュボード画面に、更にログインが必要なページを追加しました。
(ダッシュボード2)

スパイダーを実行する前には「dashboard2」は存在しません。
それではスパイダーを実行します。

ユーザを指定します。(または強制ユーザモード)

ログインに必要なページのスパイダーも成功し、ダッシュボード2を取得することができました。

さいごに

ログインが必要なページに対して、OWASP ZAPで脆弱性診断を行う手順をまとめました。
Webアプリケーションでは、管理画面やユーザのマイページなど、ログインが必要なケースは多いと思いますが、これで脆弱性診断を行うことができました。

是非ご活用ください。

他にも私のブログで、ツールについて解説している記事がありますのでご覧ください。

関連
【OWASP ZAP】インストールと基本的な使い方【Web脆弱性診断】
OWASP ZAPを使用して、Webの脆弱性診断を行ってみます。オープンソースで無料で使うことができます。
【OWASP ZAP】CSRF対策ページに脆弱性診断
CSRFの対策を行っているサイトに対して、OWASP ZAPを利用して脆弱性診断を行います。そのための設定や、実際に攻撃を行い動作確認を行いました。
【OWASP ZAP】高度なSQLインジェクション【アドオン追加】
OWASP ZAPのアドオンを追加して動的スキャンを行ってみます。
【Laravel】敢えて試すSQLインジェクション【仕組みを知るには実装】
敢えてSQLインジェクションの脆弱性を含んだシステムを作成します。対策や仕組みを知るには実際に試してみましょう。人気のあるLaravelというフレームワークで試します。
\オススメ/
スポンサーリンク

コメント

タイトルとURLをコピーしました
  1. はじめに
  2. 【紹介】個人開発
  3. 対象サイト
  4. 設定前に動作確認
  5. OWASP ZAPの設定
    1. 認証ユーザの追加
    2. 認証済みチェック
  6. ログインが必要なページに動的スキャン
  7. ログインが必要なページにスパイダー
  8. さいごに