新プログラミング言語『Zero』を開発しました! 本サイトの記事数は「589」!!

OWASP ZAPをAWS ECS(Docker)環境に構築して工数削減なり!

             
  • 2020.03.07
  • Docker
OWASP ZAPをAWS ECS(Docker)環境に構築して工数削減なり!
Advertisement

 

ローカルで脆弱性診断を行う場合、OWASP ZAPを使うケースが多いと思います

ただ、OWASP ZAPをローカルにわざわざ入れるのは面倒だし、何よりホストOSを汚したくない。

となると、Dockerを使いたくなるわけですが、今回はそのAWS版であるECSを使って環境を作ってみたいと思います。

これができれば、どこからでもOWASP ZAP環境を利用することができます。

ってことで今回は、 OWASP ZAPをAWS ECS(Docker)環境に構築していきます

 

僕のプロフィールはこちら

 

 

前提

・AWSアカウントがあること

 

 

OWASP ZAPをAWS ECS(Docker)環境に構築する手順

クラスターの作成

まずはECSにアクセスします。

URL:「https://ap-northeast-1.console.aws.amazon.com/ecs/home?region=ap-northeast-1#/getStarted」

 

 

owasp zap×ecs

まずはクラスタを作成します。

クラスターの作成」をクリックします。

 

 

owasp zap×ecs2

ECS Linux + ネットワーキング」を選択し、「次のステップ」をクリックします。

 

 

owasp zap×ecs3

クラスター名は任意でOKです。

今回は「owasp-zap」にしました。

 

 

owasp zap×ecs4

上記のように設定すればOKです。

 

 

owasp zap×ecs5

ネットワークの設定は既存のものを使用しても問題ありません。

なければ新規作成しましょう。

 

 

owasp zap×ecs6

IAMに関してはデフォルトでOKです。

 

 

owasp zap×ecs7

上記のような表示になれば、クラスターの作成に関しては完了です。

 

タスクの作成

owasp zap×ecs8

次にタスクを作成します。

新しいタスク定義の作成」をクリックします。

 

 

owasp zap×ecs9

EC2を選択し、「次のステップ」をクリックします。

 

 

owasp zap×ecs10

上記のように設定します。

イメージは「owasp/zap2docker-stable」です。

ポートマッピングが「18080」「28080」になっていますが、正しくは「8080」「8090」です。すみません。。

 

 

owasp zap×ecs11

上記のように設定します。

コマンドは「zap-webswing.sh」です。

 

 

owasp zap×ecs12

タスクの作成は完了です。

 

タスクの実行

owasp zap×ecs13

先ほど作成したクラスタのタスクタブを選択し、「新しいタスクの実行」をクリックします。

 

 

owasp zap×ecs14

最初、キャパシティープロバイダーがうんたらみたいなエラーになっているので、起動タイプに切り替え、EC2を選択します。

 

 

owasp zap×ecs15

ステータスが「RUNNING」であることを確認します。

 

OWASP ZAPにアクセス

owasp zap×ecs16

クラスタのIPアドレスを控えます。

EC2の画面を開いたらECSが新しく作成されているので、そちらからIPアドレスを調べることもできます。

 

 

owasp zap×ecs20

http://<あなたのIPアドレス>:8080/?anonym=true&app=ZAP」にアクセスすると上記のような画面が表示されますが、どうやらこっちではないっぽい。

 

 

owasp zap×ecs21

http://<あなたのIPアドレス>:8080/zap/」にアクセスすると、上記のようにOWASP ZAPの画面が表示されます。

 

OWASP ZAPの画面が表示されない場合

owasp zap×ecs19

画面が表示されない場合、セキュリティグループの設定を見直せば表示されるかもしれません。

OWASP ZAPには8080ポートでアクセスするので、上記の「カスタム TCP」のように8080が開いていることを確認してください。

 

 

Advertisement

 

まとめ

ECSを利用すれば、誰でもアクセスできる環境を作り出すことができます。

脆弱性診断のためにOWASP ZAPをローカルにインストールする必要もないですし、チーム内で共有することもできます。

すばらしきかな。

 

 

関連記事

以下の記事も合わせて読まれています。

Travelerを知らないの?