TrustBrain

,

無料 セキュリティ脆弱性診断ツール OWASP ZAP の設定方法

,

無料で脆弱性診断ができる OWASP ZAP の設定 について、実際の操作画像をつかってわかりやすく説明します…

1.OWASP ZAPの起動と設定

(1) ZAP セッションの保存方法 選択

初めて ZAP を起動するとき、ZAP セッションを保存するかどうかを選択します。セッション情報はローカル データベースに保存されるため、再開等に利用することができます。ZAP を終了するときにこれらのファイルを削除させることもできます。
セッション情報は大きなサイズのファイルになり、システムに影響を及ぼすことがあります

ZAPセッションの保存先をどうしますか。
  1. セッション(ZAPが実行した記録)情報をどう保存するかを選択し、 [開始] ボタンをクリック
    1. 現在のタイムスタンプでファイル名を付けてセッション保持
      ZAPが終了しても削除されず、ZAP実行記録を残すことができます。
    2. 保存先のパスとファイル名を指定してセッションを保持
      [開始]ボタンをクリック後に、保存先を指定するためのダイアログが表示されます。そのダイアログで指定したファイルにZAP実行記録が追記されていきます。
    3. 継続的に保存せず、必要に応じてセッションを保持
      「ユーザーディレクトリ \ OWASP ZAP \ session 」以下にデータが保存され、ZAP終了時に削除されます。

(2) 最初に絶体すべき モードの設定

プロテクトモードを選択

OWASP ZAP が起動したら、初回起動時には 標準モード が選択されているため、必ず プロテクトモード の選択に変更してください

  1. セーフモード
    Web サイトを手動で検査する静的スキャンのみが実行可能
  2. プロテクトモード
    明示的に設定したURLに対してのみ攻撃をおこない、脆弱性診断を実施
  3. 標準モード
    明示的に設定したURLだけなく、そのURL上見つけた外部サイト外部に対しても攻撃をおこない、脆弱性診断を実施(危険)
  4. 攻撃モード:明示的に設定したURLに対してのみ攻撃をおこない、脆弱性診断を実施(自動的にリアルタイム診断開始)

2.プロキシ設定 (chrome連携例)

脆弱性診断を実施するためには、OWASP ZAPにブラウザとWeb アプリケーションの間の通信(リクエストとレスポンス)を傍受し検査したり、必要に応じてその内容書き換えて転送できる様にする必要があります。そこでOWASP ZAP をプロキシとして設定します。

(1) OWASP ZAP 側のプロキシ設定

ZAP Local Servers/ProZAP
  1. メニュー [ツール] > [オプション] をクリックし、オプションダイアログを開く
  2. 左の一覧項目から [Network] > [Local Servers/Proxies] をクリック
  3. ポート番号を 8080 から 5555 など任意の番号に変更

(2) chrome 側のプロキシ設定

脆弱性診断時のみプロキシが切り替えられる様にchrome アドオンツール Proxy SwitchyOmega を利用します。

chrome ウェブストア Proxy SwitchyOmega
  1. Chrome を起動し、「chrome ウェブストア Proxy SwitchyOmega ページ 」を開く
  2. [chromeに追加] ボタンをクリック
  3. 『「Proxy SwitchyOmega」を追加しますか?』ダイアログに対して [拡張機能を追加] ボタンをクリック
SwitchyOmega Profile::Proxy
  1. ServeにはOWASP ZAPに設定した同じ値「localhost」を入力
  2. PortにはOWASP ZAPに設定した同じ値(5555など)を入力
  3. [apply changes] ボタンをクリックし、「Options save.」が表示されたら登録完了
chrome 拡張機能 SwitchyOmega の選択
  1. Google Chromeの上部メニューから、拡張機能マークをクリック
  2. ピンを留めて、SwitchyOmega を有効にする
SwitchyOmega プロキシの切替
  1. Google Chromeの上部メニューから、SwitchyOmegaマークをクリック
  2. [Proxy] を選択すると SwitchyOmega で設定したプロキシが利用される
  3. [System Proxy] を選択すると 従来のプロキシ(Windows設定値)が利用に戻る

3.証明書の設定(暗号化SSL通信対応)

(1) OWASP ZAP 側でのルート証明書の作成

ZAP Servers Certificates
既存の証明書を上書きしてもよろしいですか?
  1. メニュー [ツール] > [オプション] をクリックし、オプションダイアログを開く
  2. 左の一覧項目から[Network] > [Servers Certificates] をクリック
  3. [生成] ボタンをクリック
  4. 『既存の証明書を上書きしてもよろしいですか?』ダイアログが表示された場合には、 [はい] ボタンをクリック

(2) OWASP ZAP ルート証明書の出力

ZAP Servers Certificates
  1. ルート証明書の作成をしたダイアログ上で、証明書を確認するために [ビュー] ボタンをクリック
証明書 詳細
  1. 証明書ダイアログが表示されるので、 [詳細] タブをクリック
  2. [ファイルにコピー] ボタンをクリックし、下図の通り「証明書エクスポートウィーザード」に従ってルート証明書を出力

証明書エクスポートウィーザードの開始
[次へ]ボタンをクリック

エクスポートファイルの形式
[次へ]ボタンをクリック

エクスポートするファル
出力先を指定して、[次へ]ボタンをクリック

証明書エクスポートウィーザードの完了
[完了]ボタンをクリック

正しくエクスポートされました

(3) Chrome 側でのルート証明書のインポート

Chrome [設定] – [プライバシーとセキュリティ] > [セキュリテイ]
Chrome [セキュリテイ]
  1. Chrome を起動し、 [設定] – [プライバシーとセキュリティ] をクリック
  2. [セキュリテイ] をクリック
  3. [デバイス証明書の管理] をクリック
Chrome 証明書 信頼されたルート証明書
  1. 証明書ダイアログが表示されるので、 [信頼された証明機関] タブをクリック
  2. [インポート] ボタンをクリックし、下図の通り「証明書インポートウィーザード」に従ってルート証明書をインポート

証明書のインポートウィーザードの開始
[次へ]ボタンをクリック

インポートする証明書ファイル
インポート元を指定して
[次へ]ボタンをクリック

証明書ストア
出力先を指定して[次へ]ボタンをクリック

証明書インポートウィザードの完了
[完了]ボタンをクリック

証明書 インポート セキュリテイ警告
[次へ]ボタンをクリック

正しくインポートされました

(4) プロキシ および ルート証明書 設定後 の ブラウザ画面

プロキシ および ルート証明書 の設定が完了したら、ブラウザ上に先の画面が現れ、脆弱性診断が実施できる様になります。

4.プロキシ設定と証明書設定の永続化

プロキシ設定と証明書をOWASP ZAP 起動時毎に設定しなくても良いように永続化セッションファイルに保存します。

永続化セッション … メニュー
  1. メニュー [ファイル] > [永続化セッション] をクリックし、保存ダイアログを開く
永続化セッション 保存 ダイアログ
  1. 保存ダイアログで、任意の永続化セッションファイル名を入力し[保存]ボタンをクリック

ご相談・お問い合わせ

月~金 10:00~17:00 受付

赤と青色で装飾された紙飛行機をイメージしたフォームへの誘導アイコン

問い合せフォームへ

さらに詳しく

2営業日以内に一次回答いたします

関連ブログ

サイバーセキュリティ

無料 セキュリティ脆弱性診断ツール OWASP ZAP のインストール手順

さらに詳しく
サイバーセキュリティ

無料 セキュリティ脆弱性診断ツール OWASP ZAP による診断方法

さらに詳しく

関連事例

サイバーセキュリティ

Webサービス 脆弱性診断 (OWASP ZAPを活用した支援事例)

さらに詳しく
CONTROL, SECURITY, COMPLIANCE, CREDIBILITY, PRIVACY, CHECK LIST

クラウドサービスレベルチェックリスト 回答支援

さらに詳しく

関連サービス

スキャン

WordPressサイトセキュリティ診断

さらに詳しく
情報収集や問題解決を支援をイメージした拡大鏡と疑問符。

情報セキュリティ対策等 よろず相談

さらに詳しく

セキュリティ情報

サイバーセキュリティ注意喚起サービス「icat for JSON」 より