1.自動診断
ZAP では、診断対象のURLからサイトに含まれるページを自動的に収集し、スキャンポリシーに従って自動的に脆弱性診断をすることができます。
(1) コンテキストへ テスト対象のURL 登録
![規定コンテキスト メニュー](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-1-1-1024x681.png)
- プロキシをZAPに設定したブラウザから、診断対象のURLにアクセスするとZAPのサイト一覧にそのURLが表示されます。
- サイト一覧上で、診断対象のURLを選択し、マウスの右クリックでメニューを表示し、 [コンテキストに含める] > [既存コンテキスト] をクリック
![コンテキストに含める](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-1-2.png)
- セッションプロパティ ダイアログ が 表示されたら、「除外しない限り、コンテキストに含まれるURL」に、診断対象のURLが登録されたことを確認して [URL] ボタンをクリック。
![コンテキスト追加前の表示](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-1-3-1.png)
![コンテキスト追加後の表示](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-1-3-2.png)
- コンテキストに含まれたかは、画面の赤枠で囲ってある部分が赤い丸が表示されることで確認できます。
(2) スパイダーによる診断対象ページ自動的収集
![スパイダー メニュー](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-2-1-1024x683.png)
- 「既存のコンテキスト」を選択し、マウスの右クリックでメニューを表示し、 [スパイダー] をクリック
![スパイダー検索 ダイアログ](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-2-2.png)
![スパイダー検索による脆弱性診断対象ページ自動収集](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-2-3-1024x295.png)
- スパイダー検索 ダイアログ が 表示されたら、 [スキャンを開始] ボタンをクリックし、診断対象のURLからサイトに含まれるページを自動的に収集。
(3) 動的スキャンによる自動脆弱性診断実施
![動的スキャン メニュー](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-3-0-1024x683.png)
- 「既存のコンテキスト」を選択し、マウスの右クリックでメニューを表示し、 [動的スキャン] をクリック
![動的スキャン ダイアログ](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-3-2.png)
![動的スキャンによる自動脆弱性診断実施](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-3-3-1024x294.png)
- スパイダー検索 ダイアログ が 表示されたら、 [スキャンを開始] ボタンをクリックし、診断対象のURLからサイトに含まれるページを自動的に収集。
2.手動診断
ZAP では、Webサーバに対するリクエストの任意の部分を手動で書き換えて送信することが出来ます。
この [手動リクエスト] 機能を利用して脆弱性診断をすることで、静的コード分析に基づいた動的スキャンでは検出の難しい脆弱性診断が可能になります。
![再送信 メニュー](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-4-1-1024x680.png)
- プロキシをZAPに設定したブラウザからアクセスすると、画面下にリクエスト履歴が表示されます。
その履歴から任意のリクエストを選択し、マウスの右クリックでメニューを表示し、 [再送信] をクリック
![手動リクエスト ダイアログ](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-4-2.png)
- 手動リクエスト ダイアログで、ヘッダ情報やPOSTパラメタ等を変更して、 [送信] ボタンをクリック
![手動リクエスト ダイアログ レスポンス](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-4-3.png)
- 手動リクエスト に対して、Webサーバから返信された内容をレスポンスで確認
3.脆弱性診断結果 レポート出力
ZAP では、脆弱性診断結果をレポートとして出力することができます。
![Generate Report ... メニュー](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-5-1-1024x387.png)
- メニュー [レポート] > [Generate Report …] をクリックし、Generate Report ダイアログを表示
![Generate Report ダイアログ](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-5-2.png)
- Generate Report ダイアログ が 表示されたら、診断対象のURLを選択して、 [Generate Report] ボタンをクリックすると、下図に示す様なレポートがブラウザ上に出力されます。
※本記事 および このレポートが示すドメインは、OWASP ZAP を説明するためのものであり、実際には運用しておりません。
![](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-5-3-1.png)
![](https://trustbrain.jp/wp-content/uploads/02_ZAP-4-ex-5-3-2.png)