OWASP ZAPとは
無料のオープンソースの侵入テストツールでOpen Web Application Security Project (OWASP)の元でZAPが作られています。(日本語対応済み)
使用方法は、ブラウザとWebアプリケーションとの間で、プロキシとして機能させ、Webアプリケーション間で送受信するメッセージ(トラフィック)を自動で検査することが可能です。また、必要に応じでヘッダ情報やリクエストなどの内容の変更を行うことも可能です。
試しに動作確認などで使用する場合は、ローカルのテスト環境で実施すること。
OWASP ZAP2.6インストール
1.ZAPのダウンロード
以下の場所からZAP 2.6.0 Standardのインストーラをダウンロードしてください。
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://github.com/zaproxy/zaproxy/wiki/
2.インストーラ実行
#Windows でZAPを実行するにはJava 7以上が必要です。
3.セットアップ開始
“次へ”をクリックする。
4.ライセンス契約
承諾するを選択し、“次へ”をクリックする。
5.インストール形式の選択
カスタムインストールを選択し、“次へ”をクリックする。
6.インストール先の選択
インストール先を選択し、“次へ”をクリックする。
7.プログラムグループの選択
“次へ”をクリックする。
8.ショートカット作成オプションの選択
“次へ”をクリックする。
9.Check for updatesの選択
起動時の更新確認にチェックを入れて“次へ”をクリックする。
#google翻訳 "check for updates on startup" ⇒起動時に更新を確認する ■ZAP Releases "Automatically download new ZAP releases" ⇒新しいZAPリリースを自動的にダウンロードする ■Add-on updates "Check for updates to the add-ons you have installed" ⇒インストールしたアドオンの更新を確認する "Automatically install updates to the add-ins you have installed" ⇒インストールしたアドインへの更新を自動的にインストールする "Auromatically install updates to the scanner rules you have installed" ⇒インストールしたスキャナルールへのアップデートのインストール
■New Add-ons "Report new release quality add-ons" ⇒新しいリリースの品質アドオンを報告する "Report new bata quality add-ons" ⇒新しいバータ品質アドオンの報告" "Report new alpha quality add-ons" ⇒新しいアルファ版のアドオンを報告する |
10.Ready to install の選択
“インストール”をクリックする。
11.セットアップ完了の選択
OWASP ZAP 初回起動
1.OWASP ZAPの起動
使用モードはプロテクトモードであることを確認する。他のモードの場合は変更する。
試験を行う場合に対象を許可する設定が必要となるため安全性が高くなる。
入力を誤ったり誤操作などで試験対象外に対して実行した場合に不正アクセスや攻撃されたとか相手に迷惑がかかる。
最悪の場合は訴えられたりも。
2.プロキシ設定
1.ルール >> オプション で設定画面を開く。
2.左側メニューからローカルプロキシを選択し、ポート番号を使用していない/使用する可能性のなさそうなポート番号に変更する。
3.各ブラウザのプロキシ設定を行う。
アドレス:localhost / 127.0.0.1
ポート:上記手順で設定したポートを指定する