記事の要約
- ZAPはローカル・プロキシとして機能するツール
- 自動診断だけでなく、手動診断の補助ツールとしても利用が出来る
目次
特徴
ZAPはローカル・プロキシとして動作するツールです。
経由させたリクエストやレスポンスはZAPが管理しており、スキャン時に利用することができます。
自動診断だけではなく、手動診断の補助ツールとして利用できます。
Zed Attack Proxy(以下、ZAP)は、OWASP が開発した Web アプリケーションの脆弱性を検出する ためのフリーツールで、現在でも開発が進められており、定期的にバージョンアップされます。
設定したスキャンポリシーで選択したサイト、またはノードに対してスキャンを実行します。
設定したリストの文字列で、選択したサイトにファイルが存在していないか、クロールします。
選択したサイトに対して、クロールします。
設定したリストの文字列で、任意の文字列を置換してリクエストを送信します。
Web ブラウザからのリクエストをキャプチャできます。また、リクエストやレスポンスをインターセプトして 改ざんすることができます。
簡易ですが、スキャン結果をレポート出力できます。
使用しているセッションの一覧が表示されます。また新たにセッションを発行したり、セッションを切り替 えたりといった事が可能です。
WebSoket による通信の内容確認が可能です。
ZAPが自動的に実際にブラウザを立ち上げ、操作してクロールを行います。JavaScriptを多用するサ イトに有効です。
スクリプトを組むことによって複雑な診断操作を実現することができます。
ZAP公式Webサイトより、ファイルをダウンロードします。 www.zaproxy.org
以下の箇所からダウンロードできます。
利用する端末の環境に応じて選択してください、今回は上の64bit版で説明します。
ユーザアカウント制御の画面が出る場合は、「はい」を選択してください。
実行権限が無い場合は、管理者権限でインストールしてください。
「承認する」を選択し、「次へ」を押して進んでください。
基本的には「標準インストール」を選択し、「次へ」進んでください。
「カスタムインストール」を選択すると、「インストール先の選択」画面へ進みます。
「インストール」を選択すると、インストールが始まります。
古いバージョンをインストールしている場合は、既にファイルが存在している場合がありますが、「すべてはい」と上書きをして問題ありません。
以下の画面が表示されたらインストールは無事完了です。
「終了」を押してください。
デスクトップにショートカットが作成されているので、選択してZAPを起動してください。