広告

【OWASP ZAP】2.11.1を試す

ツール他

当サイトではアフィリエイト広告を利用しています。

広告

はじめに

以前、OWASP ZAPについて、インストール方法や使い方を解説しました。

【OWASP ZAP】インストールと基本的な使い方【Web脆弱性診断】
OWASP ZAPを使用して、Webの脆弱性診断を行ってみます。オープンソースで無料で使うことができます。

本記事はWindowsで解説していますが、Mac版については以下の記事をご覧ください。

【OWASP ZAP】インストールと使い方【M1 Mac】
Mac版のOWASP ZAPを使用して、Webの脆弱性診断を行ってみます。オープンソースで無料で使うことができます。

今回は現時点の最新である、バージョン2.11.1で試しました。
試してみたところ、Firefoxのプロキシの設定がうまくできず、別なやり方で試します

動作環境
  • ホスト端末:Windows 11
  • OWASP ZAP 2.11.1

他にも私のブログで、ツールについて解説している記事がありますのでご覧ください。

Javaのインストール

OWASP ZAPのインストール前に、JREをインストールします。
インストール方法は、前回の記事を参考にしてください。

OWASP ZAPインストール

以下のページより、OWASP ZAPのインストーラをダウンロードします。

ZAP – Download
The world’s most widely used web app scanner. Free and open source. ZAP is a community project actively maintained by a …

Windowsの64bitインストーラを選択しました。

今回は、バージョン2.11.1をダウンロードします。

ダウンロードしたインストーラを起動しインストールを行います。
特にオプションは変更せずそのまま進めました。
詳しくは、前回の記事を参考にしてください。

OWASP ZAP起動

早速起動してみましょう。

起動時にファイアーウォールのブロックの警告が表示される場合は、許可します。

セッションの保持方法を任意で選択します。

このバージョンの OWASP ZAP を起動すると、いくつかのアドオンが廃止されたとメッセージが表示されますので、OK ボタンをクリックします。

The Save Raw HTTP Message add-on has been retired. This functionality is now provided by the Import/Export add-on.

プロテクトモードを選択しましょう。
これが選択されていることにより、コンテキストに登録されたサイトのみが診断対象となります。

診断を行う際、大量のリクエストを送信します。
対象外のサイトへ診断を行わないように、必ずプロテクトモードを選択します。

広告

OWASP ZAP設定

OWASP ZAPのオプションを開きます。

ローカル・プロキシから、ポートを確認します。
デフォルトで8080になっていましたが、必要に応じて変更してください。

診断を行うブラウザに、Firefox を使用します。

Firefox がインストールされていない場合は、インストールを行ってください。
インストール手順は省略します。

右上の Firefox アイコンをクリックし、Firefox を起動します。

Firefox が起動します。

Explore your application with ZAP

今回は、ローカル PC に作成した Web アプリケーションを対象にします。(Laravelで作成したサイト)
先ほど起動した Firefox で、以下の URL にアクセスし、Laravel の起動画面を表示します。

http://localhost/

以下のような画面が表示されますが、「Continue to your target」をクリックします。

OWASP ZAP 上で認識されました。

Localhost 以外のサイトも認識していますが、無視して結構です。

OWASP ZAPの基本的な使い方

このサイトを対象とするために、コンテキストへ登録します。

プロテクトモードにしたのは、コンテキストに追加したサイトのみ、診断を行うためです。

サイトを右クリックし、規定のコンテキストへ追加しました。

サイトがコンテキストに追加されます。

これで対象サイトへの診断ができるようになりました。

スパイダー

スパイダーとは、サイトに含まれるページを自動的に検知します。

スパイダーを選択します。

スコープを確認し、スキャンを開始します。

対象サイトが Laravel の起動画面であり、それほどリンクがないのですが、一部のファイルを認識しました。

ちなみにこのページには、外部の URL が含まれていますが、コンテキストに含まれないページは追加されません。

自動で検出できないページは、Firefox から手動でページにアクセスし追加します。

動的スキャン

それでは実際に脆弱性の診断を行いましょう。
動的スキャンを選択します。

設定はそのままでスキャンを開始しました。

ページ数やスキャンの設定によりますが、時間がかかります。
スキャンが完了しました。

アラートタブを確認すると、スキャンの結果が表示されます。
スコープで対象としている URL のみ表示するため、以下のアイコンをクリックします。

診断結果を確認しましょう。
リスクというのが危険度ですので、必要に応じて対策を検討しましょう。

必ずしも正確に脆弱性が発見できるわけではありません。
サイトの作りによって、誤検知の可能性もあり得ますので、確認しましょう。

レポートの出力

前回(2.11.0)で確認した状況と同じでした。
文字化けが発生していましたが、まだ改善しておらず今後に期待です。

さいごに

今回はOWASP ZAPの最新バージョンで動作確認を行いました。
脆弱性はなかなか見つけにくいため、コーディング時に気をつけるのはもちろんですが、こういったツールで確認するのも効果的です。

作成したWebアプリケーションには、是非利用しましょう。

他にも私のブログで、ツールについて解説している記事がありますのでご覧ください。

ツールツール他
広告

個人開発

千草 @chigusaweb

現役のITエンジニア。 気ままにコードを書いたり技術情報を発信しています。 Webアプリ/Windows・Macアプリ/モバイルアプリなど。 (Java, PHP, Javascript, Swift, Python, C#, 他) 個人開発:Clibor, Quipha, TXT-Crypter, 符計算特訓, チグサツール Kindle本: Laravel9 実践入門, 他

クリップボード履歴

Clibor

Windows

Cliborはシンプルで高機能なクリップボード履歴ソフトです。 また普段よく使うワードを定型文として登録し、いつでもクリップボードに保存することができます。高度なテキスト整形・FIFOモード・ホットキーに対応。

クリップボード履歴

Windows版Cliborの利便性を、そのままMacでも。 定型文登録、高度なテキスト整形、FIFOモードなど、便利なクリップボード履歴機能を利用できます。macOS最新のTahoeにも対応。

テキスト暗号化

テキストを暗号化してURLで共有・保存できる無料サービスです。 パスフレーズを知る人だけが復号できます。登録不要、データはサーバーに保存されません。 Notionでも利用できます。

学習

Quipha

Web / iOS

自分だけの問題集や問題を作成し、クイズを行い、学習に活用することができるアプリです。 例えば、学校の授業、語学学習、IT資格やその他の資格など多彩な分野での学習を支援します。 いつでも、どこでも、あなたの学習をサポート。

ツール

日常の「ちょっとした効率化」をサポートするWeb便利ツール集。 テキスト・データ処理から最新のAI連携まで、日々のちょっとした手間でググりがちなユーティリティを1つの場所に集約。

麻雀

麻雀の符計算をひたすら特訓しマスターしましょう。 初心者の方はもちろん、もっと速く計算したい方にも役立ちます。 5万対局以上の実践から問題を収録。

コメント

タイトルとURLをコピーしました