脆弱性診断、したいねん、俺。
ということで、脆弱性診断の方法と、ツールである「OWASP ZAP」の使い方を解説します!
OWASP ZAPインストール手順
Javaのインストール
まず、OWASP ZAPのインストール前に、Javaをインストールします。
僕は元々インストールしていたので、詳細は割愛します。
↓Windowsユーザは「chocolatey」で入れると楽ですよ
javaは「1.8」以上が必要になります。
OWASP ZAPのインストール
以下にアクセスし、「Download ZAP」をクリックします。
■OWASP Zed Attack Proxy Project
URL:「https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project」
ダウンロードサイトから、PCに合うインストーラーをダウンロードします。
exeファイルを実行し、ウィザードに従っていけばインストール完了です。
OWASP ZAP設定
OWASP ZAPを実行します。
Windowsユーザの場合、デスクトップにショートカットが作成されます。
ZAPセッション保持方法
ZAPのセッション保持方法を聞かれますが、正直何でも良いです。
今回は、「現在のタイムスタンプでファイル名を付けてセッションを保存」を選択しました。
モード切り替え
左上のモード切り替えプルダウンがあるので、「プロテクトモード」に切り替えます。
診断はサイトを攻撃して確認しますが、誤って意図しないサイトを攻撃しないための設定です。
ローカルプロキシのポート番号変更
ローカルプロキシのポート番号を変更します。
「ツール」⇒「オプション」⇒「Local Proxies」のポートが「8080」に設定されていますが、これを適当な値「12345」とかに変更します。
正直変更しなくてもよいですが、ポートが8080だと競合する可能性があるので、念のための設定になります。
ブラウザ設定
FireFoxのインストール
ZAPを使う際によく利用されるブラウザは「FireFox」です。
ということでFireFoxをインストールしていない場合はインストールしてください。
プロキシ設定
「オプション」⇒「一般」の一番下⇒ネットワークの「接続設定」で以下の設定を行います。
・手動でプロキシを設定する:ON
・HTTPプロキシ:localhost
・ポート:12345(ZAPで設定した値)
・すべてのプロトコルでこのプロキシを使用する:ON
・プロキシなしで接続:空白
脆弱性診断
まずは、脆弱性診断を行いたいサイトにアクセスします。
僕は自分で作成したAngularアプリにしました。
脆弱性診断を行いたいサイトにアクセスすると、ZAP上に表示されます。
サイトを右クリックし、「コンテキストに含める」⇒「既定コンテキスト」⇒「コンテキストに含める」でサイトを選択⇒OKボタンをクリックします。
この設定をしないと、サイトに対しての攻撃ができません。
サイトを右クリックし、「攻撃」⇒「スパイダー」を選択し、スパイダーを実行します。
緑色は「診断対象URL」、赤色は「診断対象外URL」です。
サイトを右クリックし、「攻撃」⇒「動的スキャン」を選択し、動的スキャンを実行します。
これで診断されます!!
時間かかるので我慢して待ちましょう。
参考サイト
■OWASP ZAPというWebアプリの脆弱性診断ツールの使い方(入門編)
URL:「https://kama3.jp/archives/214」
まとめ
OWASP ZAPの使い方と脆弱性診断を始めてやりましたが、意外と簡単にできますな。
ZAPももっと色々な使い方ができると思うので、少しずつ勉強していきますかね。
ではまた!
