仕事でペネトレーションテストをやる必要が出てきたので。

目次 [ close ]
  1. OWASP ZAPとは
    1. OWASP ZAP の特徴
    2. 使い方の例
    3. 主な機能
  2. インストール
    1. Java Development Kit (JDK)インストール
    2. OWASP ZAPインストール
  3. OWASP ZAP設定
    1. モード
    2. プロキシ
    3. 証明書インストール
    4. ブラウザに証明書設定

OWASP ZAPとは

オープンソースのセキュリティスキャンツール。

Webアプリケーションの脆弱性診断に使用される。

OWASP ZAP の特徴

  1. プロキシサーバとして機能: ZAPは、ユーザーのWebブラウザとターゲットWebアプリケーションの間に入り込むプロキシサーバとして動作し、すべての通信を監視・記録します。これにより、アプリケーションに対するリクエストやレスポンスを確認し、不正な挙動や脆弱性を発見することができます。
  2. 自動スキャン機能: Webアプリケーションに対して自動的に脆弱性スキャンを行い、クロスサイトスクリプティング (XSS) やSQLインジェクションといった一般的な脆弱性を発見します。
  3. 手動テスト機能: セキュリティテストの経験者向けに、手動で脆弱性を検証できるツールが多数用意されています。これには、HTTPリクエストの変更や再送信、インジェクション攻撃の実行などが含まれます。
  4. プラグインの拡張性: ZAPには多数のプラグインが存在し、脆弱性診断を強化することができます。また、新しい攻撃手法や脆弱性タイプが発見された際には、コミュニティによって定期的に更新されます。
  5. クロスプラットフォーム対応: ZAPは、Windows、Linux、macOSなどの主要なプラットフォームで動作します。

使い方の例

  1. WebアプリケーションのURLを指定してスキャンを開始。
  2. ZAPがプロキシサーバとしてリクエストやレスポンスを解析し、潜在的な脆弱性を報告。
  3. 発見された脆弱性に対して、詳細な調査や攻撃シミュレーションを行う。

主な機能

  • Passive Scanning: リクエストやレスポンスを監視し、非侵入的に脆弱性を検出します。
  • Active Scanning: 積極的に攻撃をシミュレートして脆弱性をテストします。
  • Spidering: アプリケーション内のリンクをたどって、自動的にサイト全体をクロールします。
  • Fuzzing: リクエストパラメータに対してさまざまな入力を送信し、脆弱性を検証します。

インストール

インストール環境:Windows10

要件:Java Development Kit (JDK) または Java Runtime Environment (JRE) が必要

Java Development Kit (JDK)インストール

https://www.oracle.com/java/technologies/downloadsへアクセス

javaインストール画面

Windowsタブを選択し、x64 Installerをダウンロード

インストール画面

インストーラーを起動する

基本的に次へをクリックでよい

OWASP ZAPインストール

https://www.zaproxy.orgへアクセスする。

zapインストール画面トップ

Download Nowをクリック

zapインストーラー画面

Windows(64)InstallerのDownloadをクリック

owasp zapインストール画面

インストーラーを起動

こちらも次へをクリック

インストール形式

今回は標準インストールを選択

次へをクリックしていき、完了すればOK

OWASP ZAP設定

インストールできたら、OWASP ZAPを起動する。

モード

javaの許可

初回起動時にJavaの許可画面が出たら、許可をクリック

owasp zapモード

左上にモードが出ているが、標準モードだと指定URL以外のURLへの攻撃も行う可能性があるため、プロテクトモードに変えることを推奨

プロキシ

ツール>オプション>Network>Loal Servers/Proxiesからポート番号を変更する

chrome

ブラウザ側のプロキシ設定(今回はChromeを使用)

Chromeウェブストアからproxyと検索する

proxy switchyomega

Proxy SwitchyOmegaを選択

拡張機能に追加されると上記の画面が表示されるので、PortのServerをlocalhost、OWASP ZAPで入力したポート番号を入力する

proxy setting

右上でピン止めしておき、proxyを選択できるようにしておく

(System Proxyがもとのプロキシで、ProxyがSwitchyOmega)

証明書インストール

証明書

OWASP ZAP側で証明書を作る

ツール>オプション>Network>Server Certificatesを選択

生成をクリックする

上書きするか聞かれるので、はいを選択

証明書ウインドウが出るので、詳細タブからファイルにコピーをクリック

証明書インストール

次へをクリックし、証明書をローカルにインストールする

ブラウザに証明書設定

Chromeの設定から、プライバシーとセキュリティ>セキュリティを選択

証明書の管理をクリック

証明書ウインドウが開くので、信頼されたルート証明書機関タブからインポートをクリック

次へクリックして、先ほどインストールしたファイルを選択する

警告

警告が出ても、はいをクリックする

インポート完了すればOK

設定完了画面

proxyを切り替えて、OWASP ZAPの履歴にブラウザの履歴が出てくれば、設定は完了

セキュリティエンジニア向け〜セキュリティ資格取得への道〜をもっと見る

購読すると最新の投稿がメールで送信されます。