備忘録/にわかエンジニアが好きなように書く

個人的にとりあえず仕組みを知るためにとりあえず動くまで構築や動作をみただけの単なる操作ログです。個人用の備忘録となり、最新の導入手順は個別に確認してください。 ※変な内容や間違いを書いているなどありましたらコメントやご指摘いただけると幸いです。

OWASP ZAP( DockerCE)のインストール

OWASP ZAP( DockerCE)のインストール

目次

環境作成

  f:id:pocket01:20171022032808p:plain

 

DockerCEインストール

参考:Get Docker CE for CentOS | Docker Documentation

   https://docs.docker.com/engine/installation/linux/docker-ce/centos/

   https://github.com/zaproxy/zaproxy/wiki/WebSwing

1.古いバージョンをアンインストールする

# yum remove docker docker-common docker-selinux docker-engine 

2.リポジトリを使用してインストールする

2-1.必要なパッケージをインストールします。
# yum install -y yum-utils device-mapper-persistent-data lvm2 
 2-2.リポジトリを追加します。
# yum-config-manager \
--add-repo https://download.docker.com/linux/centos/docker-ce.repo
2-3.リポジトリを有効にします。(オプション)

■有効

# yum-config-manager --enable docker-ce-edge
# yum-config-manager --enable docker-ce-test

 ■無効

# yum-config-manager --disable docker-ce-edge
# yum-config-manager --disable docker-ce-test

3. DockerCEインストール 

3-1.インストール
# yum install docker-ce
3-1.Docker起動
# systemctl start docker
# systemctl enable docker

 

3-3a.バージョン確認
# docker version
Client:
Version: 17.10.0-ce
API version: 1.33
Go version: go1.8.3
Git commit: f4ffd25
Built: Tue Oct 17 19:04:05 2017
OS/Arch: linux/amd64

Server:
Version: 17.10.0-ce
API version: 1.33 (minimum version 1.12)
Go version: go1.8.3
Git commit: f4ffd25
Built: Tue Oct 17 19:05:38 2017
OS/Arch: linux/amd64
Experimental: false
#
 3-3b.バージョン確認 (Dockerが起動していない場合)

Serverの状態表示がない

# docker version
Client:
Version: 17.10.0-ce
API version: 1.33
Go version: go1.8.3
Git commit: f4ffd25
Built: Tue Oct 17 19:04:05 2017
OS/Arch: linux/amd64
Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?
#

 

Docker with OwaspZAPインストール

参考:Docker · zaproxy/zaproxy Wiki · GitHub

   https://github.com/zaproxy/zaproxy/wiki/Docker

1.DockerImageの取得

1-1.dockerイメージの取得
# docker pull owasp/zap2docker-stable
1-2.取得サイズ確認
# docker images
# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
owasp/zap2docker-stable latest 12c3b9347b07 6 months ago 1.33GB
#

  ※stable以外のイメージ種類

# docker pull owasp/zap2docker-weekly
# docker pull owasp/zap2docker-live
# docker pull owasp/zap2docker-bare

 2.GUIアクセス用のZAP起動


 2-1.起動① 
# docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap.sh -daemon -host 0.0.0.0 -port 8080

 ※下記のアドレスにリモートからGUI操作画面やAPI用画面へアクセスできない

http://192.168.20.165:8080/

http://192.168.20.165:8080/?anonym=true&app=ZAP

f:id:pocket01:20171022011941p:plain

 CLI上に表示されるログ(not permitted)

64562 [ZAP-ProxyThread-10] WARN org.zaproxy.zap.extension.api.API - Request to API URL http://192.168.20.165:8080/?anonym=true&app=ZAP from 192.168.20.3 not permitted
68265 [ZAP-ProxyThread-11] WARN org.zaproxy.zap.extension.api.API - Request to API URL http://192.168.20.165:8080/ from 192.168.20.3 not permitted

 2-2.起動②(WebSwing)(GUIアクセス用オプション追加)

https://github.com/zaproxy/zaproxy/wiki/WebSwing

 

# docker run -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-stable zap-webswing.sh

 

■ http://192.168.20.165:8080/?anonym=true&app=ZAP にアクセス

 「Accept」をクリックするとOWASP ZAPのGUI操作用画面がブラウザ上で起動する。

f:id:pocket01:20171022022548p:plain

f:id:pocket01:20171022022756p:plain

http://192.168.20.165:8080

 Webswing の画面が起動する。

  User : admin  / Password : pwd でログインが可能(おそらく初期設定)

f:id:pocket01:20171022023720p:plain

 JAVA[ZAP]をクリックすると OWASP ZAPのGUI操作用画面がブラウザ上で起動する。

f:id:pocket01:20171022023849p:plain

 

AdminConsoleをクリックすると 設定画面がブラウザ上で起動する。

※ログインユーザやセッション数などが設定可能

f:id:pocket01:20171022024656p:plain

 

 

※zap.sh のオプション追加を行ってAPI用ブラウザ画面にアクセス

【追加オプション】
  -config 'api.disablekey=true'
  -config 'api.addrs.addr.name=.*'
  -config 'api.addrs.addr.regex=true'

# docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap.sh -daemon -host 0.0.0.0 -port 8080 -config 'api.disablekey=true' -config 'api.addrs.addr.name=.*' -config 'api.addrs.addr.regex=true'

 

http://192.168.20.165:8080/

API操作画面が開く

f:id:pocket01:20171022011527p:plain

 

Nessus入門(ネットワーク脆弱性試験ツール活用術)

Nessus入門(ネットワーク脆弱性試験ツール活用術)

 
実践 Metasploit ―ペネトレーションテストによる脆弱性評価

実践 Metasploit ―ペネトレーションテストによる脆弱性評価

  • 作者: David Kennedy,Jim O'Gorman,Devon Kearns,Mati Aharoni,青木一史,秋山満昭,岩村誠,川古谷裕平,川島祐樹,辻伸弘,宮本久仁男,岡真由美
  • 出版社/メーカー: オライリージャパン
  • 発売日: 2012/05/23
  • メディア: 大型本
  • 購入: 6人 クリック: 40回
  • この商品を含むブログ (9件) を見る