自分だけのクイズ作成 - Quipha公開中

【OWASP ZAP】インストールと基本的な使い方【Web脆弱性診断】

ツール
スポンサーリンク

はじめに

OWASP ZAPを使用して、Webの脆弱性診断を行ってみます。OWASP ZAPはオープンソースで無料で使うことができます。

SQLインジェクションの脆弱性など、そういったセキュリティに関する診断を行うことができます。

Webアプリケーションのすべての画面を手動でチェック、または、不正パラメータを手動で送信して確認というのは難しいですが、このツールを使うと、自動で様々なパターンの検証を行い診断を行うことができます。

脆弱性診断を行う専門の業者がありますが、費用が高いです。
作成したアプリケーションに対し、「取り敢えず診断してみたい」という場合にはとても便利です。

アプリケーションに脆弱性があると以下のような被害に遭い、運営者やそれを利用するユーザにまで影響が及びます。

  • 不正にアクセスされる(情報流出)
  • データを不正に書き換えられる

Webアプリケーションは、場合によっては不特定多数のユーザがアクセスするため、脆弱性がある状態での公開は非常に危険です。(特に個人情報を扱うようなアプリなど)

脆弱性の危険性を試した記事を以前まとめましたので、ご覧ください。

それではOWASP ZAPをインストールしていきましょう。

動作環境
  • ホスト端末:Windows 10
  • OWASP ZAP 2.11.0
  • Java Version 8 Update 311

Javaのインストール

OWASP ZAPのインストール前に、JREをインストールします。
JREがインストールされていない状態で、OWASP ZAPをインストールしようとすると、以下のエラーが表示されます。

インストール4jウィザードは、システム上にJava(TM)ランタイム環境を見つけることができませんでした。適切な64-bitのJREを検索してください。(最小バージョン: 1.8)

以下のページより、64bit版のJREをダウンロードします。

https://www.java.com/ja/download/

32bit版と間違えないようにしましょう。

ライセンスを確認し、ダウンロードします。
現時点で、Version 8 Update 311でした。

インストーラを起動し、インストールを実行します。

しばらくすると、インストールが完了しました。

OWASP ZAPインストール

以下のページより、OWASP ZAPのインストーラをダウンロードします。

OWASP ZAP – Download
The world’s most widely used web app scanner. Free and open source. Actively maintained by a dedicated international team of volunteers.

Windowsの64bitインストーラを選択しました。
ファイルサイズが大きいので、少し時間がかかりました。

ダウンロードしたインストーラを起動します。
次へ進みます。

ライセンスを確認し、次へ進みます。

ここでは標準インストールを選択しました。
インストール先を変更したい場合は、カスタムインストールを選択します。

インストールを開始します。

インストールが完了しました。

旧バージョンのダウンロード

古いバージョン(例えばv2.10.0)をダウンロードしたい場合は、GitHubのリポジトリにありました。
さらに古いバージョンも探せばあります。

Release v2.10.0 · zaproxy/zaproxy
File Checksum (SHA-256) ZAP_2.10.0_Core.zip 6770ebe98c8f88cab18d39193b9a4f0c45c91a56b0c8d2c8dff07c950866d096 ZAP_2.10.0_Crossplatform.zip e17ec487b5bcb76b...

OWASP ZAP起動

早速起動してみましょう。

起動時にファイアーウォールのブロックの警告が表示される場合は、許可します。

セッションの保持方法を任意で選択します。

プロテクトモードになっていることを確認しましょう。
これが選択されていることにより、コンテキストに登録されたサイトのみが診断対象となります。

診断を行う際、大量のリクエストを送信します。
対象外のサイトへ診断を行わないように、必ずプロテクトモードを選択します。

OWASP ZAP設定

OWASP ZAPのオプションを開きます。

ローカル・プロキシから、ポートを確認します。
デフォルトで18080になっていましたが、必要に応じて変更してください。

Firefoxを開き、設定を変更します。
ネットワークの設定の接続設定を開きます。

OWASP ZAPの設定と同じく、プロキシとポートを指定します。

今回は、ローカル(自分のPC)に作成したWebアプリケーションを対象にしてみます。
Laravelで作成したサイトを表示しました。

URLの指定は、localhostではなく、IPアドレスで指定します。

× http://localhost:8000/
○ http://192.168.0.xx:8000/

OWASP ZAP上で認識されました。

スポンサーリンク

OWASP ZAPの基本的な使い方

このサイトを対象とするために、コンテキストへ登録します。

プロテクトモードにしたのは、コンテキストに追加したサイトのみ、診断を行うためです。

サイトを右クリックし、規定のコンテキストへ追加しました。

サイトがコンテキストに追加されました。

これでサイトへの攻撃ができるようになりました。

スパイダー

スパイダーとは、サイトに含まれるページを自動的に検知します。

スパイダーを選択します。

スコープを確認し、スキャンを開始します。

対象サイトがLaravelのスタートページであり、それほどリンクがないのですが、一部のファイルを認識しました。

ちなみにこのページには、外部のURLが含まれていますが、コンテキストに含まれないページは追加されませんでした。

自動で検出できないページは、手動でページを開き追加します。

動的スキャン

それでは実際に脆弱性の診断を行いましょう。
動的スキャンを選択します。

設定はそのままでスキャンを開始しました。

ページ数やスキャンの設定によりますが、時間がかかります。
スキャンが完了しました。

アラートタブを確認すると、スキャンした結果が表示されます。
リスクというのが危険度です。リスクが高いものは対応したほうが良いと思いますが、必要に応じて対応可否を検討すると良いでしょう。

必ずしも、正確に脆弱性が発見出来るわけではありません。
サイトの作りによって、誤検知の可能性もありえますので、その都度確認しましょう。

レポートの出力

どうやら2.11.0でレポートの出力が変わったようです。

OWASP ZAP – ZAP 2.11.0
The world’s most widely used web app scanner. Free and open source. Actively maintained by a dedicated international team of volunteers.

レポートのGenerate Reportを選択します。

なにやら文字化けしているようですが・・

以前とは違うレポート結果が出力できました。

現時点では、一部文字化けしていました。
以前と同じレポートの方が良い場合は、最新バージョンを見合わせたほうが良いかもしれません。

セッションの保存

今回行った作業を、セッションとして保存しておきましょう。
次回、OWASP ZAPを起動後に、同じ状態に読み込むことができます。(セッションデータファイルを開く)

後処理

一通り作業が終わったら、Firefoxの設定を戻しておきましょう。

さいごに

今回はツールを使用して、脆弱性診断を行ってみました。
脆弱性はなかなか見つけにくいため、コーディング時に気をつけるのはもちろんですが、こういったツールで確認するのも効果的です。

作成したWebアプリケーションには、是非利用しましょう。

コメント

タイトルとURLをコピーしました