仕事でペネトレーションテストをやる必要が出てきたので。
OWASP ZAPとは
オープンソースのセキュリティスキャンツール。
Webアプリケーションの脆弱性診断に使用される。
OWASP ZAP の特徴
- プロキシサーバとして機能: ZAPは、ユーザーのWebブラウザとターゲットWebアプリケーションの間に入り込むプロキシサーバとして動作し、すべての通信を監視・記録します。これにより、アプリケーションに対するリクエストやレスポンスを確認し、不正な挙動や脆弱性を発見することができます。
- 自動スキャン機能: Webアプリケーションに対して自動的に脆弱性スキャンを行い、クロスサイトスクリプティング (XSS) やSQLインジェクションといった一般的な脆弱性を発見します。
- 手動テスト機能: セキュリティテストの経験者向けに、手動で脆弱性を検証できるツールが多数用意されています。これには、HTTPリクエストの変更や再送信、インジェクション攻撃の実行などが含まれます。
- プラグインの拡張性: ZAPには多数のプラグインが存在し、脆弱性診断を強化することができます。また、新しい攻撃手法や脆弱性タイプが発見された際には、コミュニティによって定期的に更新されます。
- クロスプラットフォーム対応: ZAPは、Windows、Linux、macOSなどの主要なプラットフォームで動作します。
使い方の例
- WebアプリケーションのURLを指定してスキャンを開始。
- ZAPがプロキシサーバとしてリクエストやレスポンスを解析し、潜在的な脆弱性を報告。
- 発見された脆弱性に対して、詳細な調査や攻撃シミュレーションを行う。
主な機能
- Passive Scanning: リクエストやレスポンスを監視し、非侵入的に脆弱性を検出します。
- Active Scanning: 積極的に攻撃をシミュレートして脆弱性をテストします。
- Spidering: アプリケーション内のリンクをたどって、自動的にサイト全体をクロールします。
- Fuzzing: リクエストパラメータに対してさまざまな入力を送信し、脆弱性を検証します。
インストール
インストール環境:Windows10
要件:Java Development Kit (JDK) または Java Runtime Environment (JRE) が必要
Java Development Kit (JDK)インストール
https://www.oracle.com/java/technologies/downloadsへアクセス
Windowsタブを選択し、x64 Installerをダウンロード
インストーラーを起動する
基本的に次へをクリックでよい
OWASP ZAPインストール
https://www.zaproxy.orgへアクセスする。
Download Nowをクリック
Windows(64)InstallerのDownloadをクリック
インストーラーを起動
こちらも次へをクリック
今回は標準インストールを選択
次へをクリックしていき、完了すればOK
OWASP ZAP設定
インストールできたら、OWASP ZAPを起動する。
モード
初回起動時にJavaの許可画面が出たら、許可をクリック
左上にモードが出ているが、標準モードだと指定URL以外のURLへの攻撃も行う可能性があるため、プロテクトモードに変えることを推奨
プロキシ
ツール>オプション>Network>Loal Servers/Proxiesからポート番号を変更する
ブラウザ側のプロキシ設定(今回はChromeを使用)
Chromeウェブストアからproxyと検索する
Proxy SwitchyOmegaを選択
拡張機能に追加されると上記の画面が表示されるので、PortのServerをlocalhost、OWASP ZAPで入力したポート番号を入力する
右上でピン止めしておき、proxyを選択できるようにしておく
(System Proxyがもとのプロキシで、ProxyがSwitchyOmega)
証明書インストール
OWASP ZAP側で証明書を作る
ツール>オプション>Network>Server Certificatesを選択
生成をクリックする
上書きするか聞かれるので、はいを選択
証明書ウインドウが出るので、詳細タブからファイルにコピーをクリック
次へをクリックし、証明書をローカルにインストールする
ブラウザに証明書設定
Chromeの設定から、プライバシーとセキュリティ>セキュリティを選択
証明書の管理をクリック
証明書ウインドウが開くので、信頼されたルート証明書機関タブからインポートをクリック
次へクリックして、先ほどインストールしたファイルを選択する
警告が出ても、はいをクリックする
インポート完了すればOK
proxyを切り替えて、OWASP ZAPの履歴にブラウザの履歴が出てくれば、設定は完了
セキュリティエンジニア向け〜セキュリティ資格取得への道〜をもっと見る
購読すると最新の投稿がメールで送信されます。