記事の要約
- ZAPの説明と機能を紹介しています
目次
ZAPとは
Zed Attack Proxy(以下、ZAP)は、OWASP が開発した Web アプリケーションの脆弱性を検出する ためのフリーツールで、現在でも開発が進められており、定期的にバージョンアップされます。
実装されている主な機能
- 動的スキャン
設定したスキャンポリシーで選択したサイト、またはノードに対してスキャンを実行します。
- 強制ブラウズ
設定したリストの文字列で、選択したサイトにファイルが存在していないか、クロールします。
- スパイダー検索
選択したサイトに対して、クロールします。
- Fuzzer
設定したリストの文字列で、任意の文字列を置換してリクエストを送信します。
- ローカル・プロキシ
Web ブラウザからのリクエストをキャプチャできます。また、リクエストやレスポンスをインターセプトして 改ざんすることができます。
- レポート出力
簡易ですが、スキャン結果をレポート出力できます。
- HttpSessions
使用しているセッションの一覧が表示されます。また新たにセッションを発行したり、セッションを切り替 えたりといった事が可能です。
- WebSockets
WebSoket による通信の内容確認が可能です。
- AJAX Spider
ZAPが自動的に実際にブラウザを立ち上げ、操作してクロールを行います。JavaScriptを多用するサ イトに有効です。
- Zest
スクリプトを組むことによって複雑な診断操作を実現することができます。