あうとぷっと

いんぷっとの整理とあうとぷっとの場

ZAPとは

記事の要約

  • ZAPの説明と機能を紹介しています

目次

ZAPとは

Zed Attack Proxy(以下、ZAP)は、OWASP が開発した Web アプリケーションの脆弱性を検出する ためのフリーツールで、現在でも開発が進められており、定期的にバージョンアップされます。

実装されている主な機能

  • 動的スキャン

    設定したスキャンポリシーで選択したサイト、またはノードに対してスキャンを実行します。

  • 強制ブラウズ

    設定したリストの文字列で、選択したサイトにファイルが存在していないか、クロールします。

  • スパイダー検索

    選択したサイトに対して、クロールします。

  • Fuzzer

    設定したリストの文字列で、任意の文字列を置換してリクエストを送信します。

  • ローカル・プロキシ

    Web ブラウザからのリクエストをキャプチャできます。また、リクエストやレスポンスをインターセプトして 改ざんすることができます。

  • レポート出力

    簡易ですが、スキャン結果をレポート出力できます。

  • HttpSessions

    使用しているセッションの一覧が表示されます。また新たにセッションを発行したり、セッションを切り替 えたりといった事が可能です。

  • WebSockets

    WebSoket による通信の内容確認が可能です。

  • AJAX Spider

    ZAPが自動的に実際にブラウザを立ち上げ、操作してクロールを行います。JavaScriptを多用するサ イトに有効です。

  • Zest

    スクリプトを組むことによって複雑な診断操作を実現することができます。