2021-11-14 (日) 12:02:27

OWASP ZAP †

• OWASP Zed Attack Proxy
• https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
• https://github.com/zaproxy

OWASP ZAP とは †

• OWASP
• Webアプリの脆弱性診断ツール
• OSS
• プロキシとして動作する。
• WebブラウザとWebアプリ間の通信を閲覧・改変することができる。

• Paros
  • 元々はParosという名前のツールだった。

インストール †

ダウンロード †

https://github.com/zaproxy/zaproxy/wiki/Downloads

インストール †

設定 †

• ローカル・プロキシの設定
  • ツール >オプション >(左のメニュー)ローカル・プロキシ
    • Address：(Default)localhost
    • ポート：

OWASP ZAP の機能 †

モード †

• セーフモード
• プロテクトモード
• 標準モード
• 攻撃モード

コンテキスト †

• 診断対象のURLを登録したもの

スコープ †

• 診断対象範囲のこと

スパイダー †

• 診断対象のサイトの情報を収集するツール

アドオン †

スキャンポリシー †

その他 †

• HUD
  • https://github.com/zaproxy/zap-hud
  • WebブラウザでZAPの機能を提供するもの

Firefox を使う †

• ネットワークの設定（プロキシ）
  • 三アイコン >オプション >(左のメニュー)一般 >ネットワーク設定：接続設定
  • 手動でプロキシを設定する
    • HTTPプロキシー：(ZAPのローカル・プロキシの設定)
    • ポート：(ZAPのローカル・プロキシの設定)
    • すべてのプロトコルでこのプロキシーを使用する：ON
  • OK

• 暗号化通信向けの設定
  • ZAPで出力したダイナミックSSL証明書のファイル(owasp_zap_root_ca.cer)をインポートする
    • 三アイコン >オプション >(左のメニュー)プライバシーとセキュリティ >証明書：証明書を表示...
    • 認証局証明書タブ >インポート >ファイルを選択し[開く]
    • この認証局によるウェブサイトの識別を信頼する：ON >[OK]

動作環境 †

• Java