にわかエンジニア好きなことを書く備忘録

個人用の備忘録となるので、その点はご了承ください。 ※変な内容や間違いを書いているなどありましたらコメントやご指摘いただけると幸いです。出戻りのエンジニアのネットワークやインフラなどの備忘録と趣味での動作テスト結果

OWASP ZAP2.6インストール

 

 

OWASP ZAPとは

無料のオープンソースの侵入テストツールでOpen Web Application Security Project (OWASP)の元でZAPが作られています。(日本語対応済み)

使用方法は、ブラウザとWebアプリケーションとの間で、プロキシとして機能させ、Webアプリケーション間で送受信するメッセージ(トラフィック)を自動で検査することが可能です。また、必要に応じでヘッダ情報やリクエストなどの内容の変更を行うことも可能です。

試しに動作確認などで使用する場合は、ローカルのテスト環境で実施すること。

  f:id:pocket01:20171009143822p:plain

OWASP ZAP2.6インストール

1.ZAPのダウンロード

  以下の場所からZAP 2.6.0 Standardのインストーラをダウンロードしてください。

  https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

  https://github.com/zaproxy/zaproxy/wiki/

 

2.インストーラ実行

 #Windows でZAPを実行するにはJava 7以上が必要です。

3.セットアップ開始

 “次へ”をクリックする。

 f:id:pocket01:20171009144053p:plain

4.ライセンス契約

  承諾するを選択し、“次へ”をクリックする。

 f:id:pocket01:20171009144121p:plain

 

5.インストール形式の選択

  カスタムインストールを選択し、“次へ”をクリックする。

 f:id:pocket01:20171009144155p:plain

6.インストール先の選択

 インストール先を選択し、“次へ”をクリックする。

 f:id:pocket01:20171009144229p:plain

7.プログラムグループの選択

 “次へ”をクリックする。

 f:id:pocket01:20171009144305p:plain

8.ショートカット作成オプションの選択

  “次へ”をクリックする。

 f:id:pocket01:20171009144353p:plain

9.Check for updatesの選択

 起動時の更新確認にチェックを入れて“次へ”をクリックする。

 f:id:pocket01:20171009144442p:plain

#google翻訳

"check for updates on startup"

 ⇒起動時に更新を確認する

■ZAP Releases

"Automatically download new ZAP releases"

 ⇒新しいZAPリリースを自動的にダウンロードする

■Add-on updates

"Check for updates to the add-ons you have installed"

 ⇒インストールしたアドオンの更新を確認する

"Automatically install updates to the add-ins you have installed"

 ⇒インストールしたアドインへの更新を自動的にインストールする

"Auromatically install updates to the scanner rules you have installed"

 ⇒インストールしたスキャナルールへのアップデートのインストール

 

 ■New Add-ons

"Report new release quality add-ons"

 ⇒新しいリリースの品質アドオンを報告する

"Report new bata quality add-ons"

 ⇒新しいバータ品質アドオンの報告"

"Report new alpha quality add-ons"

 ⇒新しいアルファ版のアドオンを報告する

 

10.Ready to install の選択

“インストール”をクリックする。

 f:id:pocket01:20171009144847p:plain

 

11.セットアップ完了の選択

 f:id:pocket01:20171009144912p:plain

 

 

OWASP ZAP 初回起動

 1.OWASP ZAPの起動

使用モードはプロテクトモードであることを確認する。他のモードの場合は変更する。

試験を行う場合に対象を許可する設定が必要となるため安全性が高くなる。

入力を誤ったり誤操作などで試験対象外に対して実行した場合に不正アクセスや攻撃されたとか相手に迷惑がかかる。

最悪の場合は訴えられたりも。

f:id:pocket01:20171009145035p:plain

2.プロキシ設定

1.ルール >> オプション で設定画面を開く。

2.左側メニューからローカルプロキシを選択し、ポート番号を使用していない/使用する可能性のなさそうなポート番号に変更する。

 f:id:pocket01:20171009150039p:plain

 

3.各ブラウザのプロキシ設定を行う。

  アドレス:localhost  /  127.0.0.1

        ポート:上記手順で設定したポートを指定する

 f:id:pocket01:20171009145746p:plain