OWASP ZAP とは
OWASP ZAP(Zed Attack Proxy)は、ウェブアプリケーションのセキュリティ脆弱性を探すための無料のツールです。
攻撃を模倣してどの部分に脆弱性があるのかを診断することやその結果をレポートとして出力することができます。
検出できる脆弱性
- SQLインジェクション
- 不適切なSQL文の組み立て方法による脆弱性を利用し、SQLコマンドを悪用してデータベース情報へ不正にアクセスする攻撃
- 被害事例としては、データ消去や改ざん、データ盗用など
- OSコマンドインジェクション
- 脆弱性を持つアプリケーションを通じて、外部から不正なウェブサーバのOSコマンドを不正に実行する攻撃
- 被害事例としては、重要情報がもれたり、サーバが攻撃の踏み台に悪用など
- ディレクトリトラバーサル(パストラバーサル)
- 相対パスの脆弱性を狙って、ユーザーが気づかない間に、他のサイトから不正なリクエストを送られてしまう攻撃
- 被害事例としては、公開を想定していないファイルにアクセスされてしまい、個人情報や機密情報が漏れなど
- クロスサイト・スクリプティング
- Webサイトの脆弱性を利用し、HTMLに悪質なスクリプトを埋め込む攻撃
- 被害事例としては、サイト訪問者のブラウザ上で、悪意のあるウェブ画面の表示、偽サイトに誘導、マルウェア感染など
- CSRF(クロスサイト・リクエスト・フォージェリ)
- Webサイトの脆弱性を利用し、本来拒否すべき他サイトからのリクエストを受信し処理させる攻撃
- 被害としてはサイト利用者になりすまして、パスワードの変更、商品の購入、掲示板への書き込み等などが勝手にされてしまうなど
- クリックジャッキング
- Webサイトの脆弱性を利用し、ボタンやリンクなどを透明で見えない状態にして、通常のWebページの上にかぶせる攻撃
- 被害事例としては、サイト訪問者のブラウザ上で、不正なプログラムが実行されたり、意図しないWebサイトへの遷移など
- バッファオーバーフロー
- Webサイト設計の甘さをなどを狙って、想定を超えるデータを送りつけることで、サーバの内部から誤作動を起こさせる攻撃
- 被害事例としては、Webサイトの改ざん、サービス停止に追い込むなど
1.JDK(Java実行環境)64bit版をインストール
OWASP ZAPをインストールするためには、JDK(Java Development Kit)をインストールする必要があります。
2021年10月 7日にリリースされた OWASP ZAP バージョン 2.11 までは、Java 8 または Java 11以降が必要でしたが、2022年10月27日にリリースされた OWASP ZAP バージョン 2.12 からは、Java 11以降が必須となりました。
Javaのランタイム環境、JREのサポートや更新提供はOracle社によって行われていますが、2023年9月時点では、対象は Java 8 のみとなっています。
そのため、OWASP ZAP をインストール・利用する際には、Javaの実行環境である JDK 11 またはそれ以降のバージョンのインストールが必要です。
なお、2023年9月時点での JDK の最新バージョンは JDK 20 です。
(1) JDK(Java実行環境)をダウンロード
- ブラウザを起動して、オラクル株式会社 JAVAダウンロードサイト https://www.oracle.com/java/technologies/downloads/ にアクセス
- JDKのバージョンが11以上であることを確認(下記画像では JDK 20 を確認)
- Linux、macOS、Windowsから利用環境に合わせたものをクリック(下記画像ではWindowsをクリック)
- Product/file description が x64 installer 行の Download 列のURLをクリックしてダウンロード
(下記画像では https://download.oracle.com/java/20/latest/jdk-20_windows-x64_bin.exe をクリック)
(2) JDK(Java実行環境)をインストール
- ダウンロードしたJDKのインストーラ(例 jdk-20_windows-x64_bin.exe)を開き、インストーラを実行
- 「Java(TM) SE Development Kit のインストール・ウィーザードへようこそ」が表示されたダイアログに対し、[次へ]ボタンをクリック
- 「これより、Java(TM) SE Development Kit がインストールされます」が表示されたら、[次]ボタンをクリック
- インストールが実行されダイログ上に進捗を示すためにステータスが表示されます
- 「Java(TM) SE Development Kit が正常にインストールされました」が表示されたら、[閉じる]ボタンをクリック
2.OWASP ZAP をインストール
(1) ZAP 開発チームのサイトより、ZAP をダウンロード
- ブラウザを起動して、ZAP 開発チームのサイト https://www.zaproxy.org/ にアクセス
- [ダウンロード]ボタンをクリック
- 利用環境に合わせたものをダウンロード(下記画像では Windows(64) installer をクリック)
(2) ZAPをインストール
- ダウンロードしたJDKのインストーラ(例 ZAP_2_13_0_windows.exe)を開き、インストーラを実行
- 「ようこそ OWASP Zed Attack セットアッププログラムへ。」が表示されたダイアログに対し、[次へ]ボタンをクリック
- 「ライセンス契約」が表示されたら、◎承認するを選択して[次へ]ボタンをクリック
- ライセンス契約には次のことが含まれています
- 再配布:再配布または公開する際には、このライセンスの条件を変更せずに含める必要がある。
- 保証の否認:このソフトウェア契約は、明示的または黙示的な保証を排除する。
- 責任の制限:ライセンス発行者やコントリビュータは、契約上、過失によるかどうかを問わず、何らの理由で生じた損害について一切の責任を負わない。
- 「インストル形式を選択してください」が表示されたら、[次へ]ボタンをクリック
- 「Ready to Install」が表示されたら、[次へ]ボタンをクリック
- インストールが実行されダイログ上に進捗が表示されます
- 「OWASP Zed Attack Proxyのセットアップ完了」が表示されたら、[閉じる]ボタンをクリック
