OWASP ZAP( DockerCE)のインストール
目次
環境作成
DockerCEインストール
参考:Get Docker CE for CentOS | Docker Documentation
https://docs.docker.com/engine/installation/linux/docker-ce/centos/
https://github.com/zaproxy/zaproxy/wiki/WebSwing
1.古いバージョンをアンインストールする
# yum remove docker docker-common docker-selinux docker-engine
2.リポジトリを使用してインストールする
2-1.必要なパッケージをインストールします。
# yum install -y yum-utils device-mapper-persistent-data lvm2
2-2.リポジトリを追加します。
# yum-config-manager \
--add-repo https://download.docker.com/linux/centos/docker-ce.repo
2-3.リポジトリを有効にします。(オプション)
■有効
# yum-config-manager --enable docker-ce-edge
# yum-config-manager --enable docker-ce-test
■無効
# yum-config-manager --disable docker-ce-edge
# yum-config-manager --disable docker-ce-test
3. DockerCEインストール
3-1.インストール
# yum install docker-ce
3-1.Docker起動
# systemctl start docker
# systemctl enable docker
3-3a.バージョン確認
# docker version
Client:
Version: 17.10.0-ce
API version: 1.33
Go version: go1.8.3
Git commit: f4ffd25
Built: Tue Oct 17 19:04:05 2017
OS/Arch: linux/amd64
Server:
Version: 17.10.0-ce
API version: 1.33 (minimum version 1.12)
Go version: go1.8.3
Git commit: f4ffd25
Built: Tue Oct 17 19:05:38 2017
OS/Arch: linux/amd64
Experimental: false
#
3-3b.バージョン確認 (Dockerが起動していない場合)
Serverの状態表示がない
# docker version
Client:
Version: 17.10.0-ce
API version: 1.33
Go version: go1.8.3
Git commit: f4ffd25
Built: Tue Oct 17 19:04:05 2017
OS/Arch: linux/amd64
Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?
#
Docker with OwaspZAPインストール
参考:Docker · zaproxy/zaproxy Wiki · GitHub
https://github.com/zaproxy/zaproxy/wiki/Docker
1.DockerImageの取得
1-1.dockerイメージの取得
# docker pull owasp/zap2docker-stable
1-2.取得サイズ確認
# docker images
# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
owasp/zap2docker-stable latest 12c3b9347b07 6 months ago 1.33GB
#
※stable以外のイメージ種類
# docker pull owasp/zap2docker-weekly
# docker pull owasp/zap2docker-live
# docker pull owasp/zap2docker-bare
2.GUIアクセス用のZAP起動
2-1.起動①
# docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap.sh -daemon -host 0.0.0.0 -port 8080
※下記のアドレスにリモートからGUI操作画面やAPI用画面へアクセスできない
■http://192.168.20.165:8080/?anonym=true&app=ZAP
CLI上に表示されるログ(not permitted)
64562 [ZAP-ProxyThread-10] WARN org.zaproxy.zap.extension.api.API - Request to API URL http://192.168.20.165:8080/?anonym=true&app=ZAP from 192.168.20.3 not permitted
68265 [ZAP-ProxyThread-11] WARN org.zaproxy.zap.extension.api.API - Request to API URL http://192.168.20.165:8080/ from 192.168.20.3 not permitted
2-2.起動②(WebSwing)(GUIアクセス用オプション追加)
https://github.com/zaproxy/zaproxy/wiki/WebSwing
# docker run -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-stable zap-webswing.sh
■ http://192.168.20.165:8080/?anonym=true&app=ZAP にアクセス
「Accept」をクリックするとOWASP ZAPのGUI操作用画面がブラウザ上で起動する。
Webswing の画面が起動する。
User : admin / Password : pwd でログインが可能(おそらく初期設定)
JAVA[ZAP]をクリックすると OWASP ZAPのGUI操作用画面がブラウザ上で起動する。
AdminConsoleをクリックすると 設定画面がブラウザ上で起動する。
※ログインユーザやセッション数などが設定可能
※zap.sh のオプション追加を行ってAPI用ブラウザ画面にアクセス
【追加オプション】
-config 'api.disablekey=true'
-config 'api.addrs.addr.name=.*'
-config 'api.addrs.addr.regex=true'
# docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap.sh -daemon -host 0.0.0.0 -port 8080 -config 'api.disablekey=true' -config 'api.addrs.addr.name=.*' -config 'api.addrs.addr.regex=true'
API操作画面が開く
実践 Metasploit ―ペネトレーションテストによる脆弱性評価
- 作者: David Kennedy,Jim O'Gorman,Devon Kearns,Mati Aharoni,青木一史,秋山満昭,岩村誠,川古谷裕平,川島祐樹,辻伸弘,宮本久仁男,岡真由美
- 出版社/メーカー: オライリージャパン
- 発売日: 2012/05/23
- メディア: 大型本
- 購入: 6人 クリック: 40回
- この商品を含むブログ (9件) を見る