ということで、脆弱性診断の方法と、ツールである「OWASP ZAP」の使い方を解説します!
この記事を書いた人
(泉浩兵)
当ブログ管理者
・エンジニア
・新プログラミング言語『Zero』開発
・保有資格約20個
・投資好き(日本株・仮想通貨)
・オンラインカジノ好き(ルーレット)
・47都道府県制覇目指し中
⇒Twitter(@izumin_0401)
⇒Instagram(@izumin0401)
OWASP ZAPインストール手順
Javaのインストール
まず、OWASP ZAPのインストール前に、Javaをインストールします。
Windowsユーザは「chocolatey」で入れると楽ですよ
開発をする際にまずやることは「環境構築」だと思います。 この環境構築ですが、色々なソフトをインストールしなくてはならず、かなり面倒ですよね。 そこで、今回ご紹介するのが「chocolatey」です。 chocolateyは[…]
OWASP ZAPのインストール
以下にアクセスし、「Download ZAP」をクリックします。
ダウンロードサイトから、PCに合うインストーラーをダウンロードします。
exeファイルを実行し、ウィザードに従っていけばインストール完了です。
OWASP ZAP設定
OWASP ZAPを実行します。
Windowsユーザの場合、デスクトップにショートカットが作成されます。
ZAPセッション保持方法
ZAPのセッション保持方法を聞かれますが、正直何でも良いです。
モード切り替え
左上のモード切り替えプルダウンがあるので、「プロテクトモード」に切り替えます。
ローカルプロキシのポート番号変更
ローカルプロキシのポート番号を変更します。
「ツール」⇒「オプション」⇒「Local Proxies」のポートが「8080」に設定されていますが、これを適当な値「12345」とかに変更します。
ブラウザ設定
FireFoxのインストール
ZAPを使う際によく利用されるブラウザは「FireFox」です。
ということで、FireFoxをインストールしていない場合はインストールしてください。
プロキシ設定
「オプション」⇒「一般」の一番下⇒ネットワークの「接続設定」で以下の設定を行います。
- 手動でプロキシを設定する:ON
- HTTPプロキシ:localhost
- ポート:12345(ZAPで設定した値)
- すべてのプロトコルでこのプロキシを使用する:ON
- プロキシなしで接続:空白
脆弱性診断
まずは、脆弱性診断を行いたいサイトにアクセスします。
脆弱性診断を行いたいサイトにアクセスすると、ZAP上に表示されます。
サイトを右クリックし、「コンテキストに含める」⇒「既定コンテキスト」⇒「コンテキストに含める」でサイトを選択⇒OKボタンをクリックします。
サイトを右クリックし、「攻撃」⇒「スパイダー」を選択し、スパイダーを実行します。
サイトを右クリックし、「攻撃」⇒「動的スキャン」を選択し、動的スキャンを実行します。
これで診断されます!!
参考サイト
まとめ
OWASP ZAPの使い方と脆弱性診断を始めてやりましたが、意外と簡単にできますね。
ZAPももっと色々な使い方ができるので、少しずつ勉強していきます。
ではまた!