無料 セキュリティ脆弱性診断ツール OWASP ZAP による診断方法

2023/09/10
サイバーセキュリティ

本記事では、Windows / Mac / Linux 上で、無料で脆弱性診断ができる OWASP ZAP による 診断方法 について、画像をつかってわかりやすく説明します。

1.自動診断

ZAP では、診断対象のURLからサイトに含まれるページを自動的に収集し、スキャンポリシーに従って自動的に脆弱性診断をすることができます。

(1) コンテキストへ テスト対象のURL 登録

  • プロキシをZAPに設定したブラウザから、診断対象のURLにアクセスするとZAPのサイト一覧にそのURLが表示されます。
  • サイト一覧上で、診断対象のURLを選択し、マウスの右クリックでメニューを表示し、[コンテキストに含める]>[既存コンテキスト]をクリック
規定コンテキスト メニュー
  • セッションプロパティ ダイアログ が 表示されたら、「除外しない限り、コンテキストに含まれるURL」に、診断対象のURLが登録されたことを確認して[URL]ボタンをクリック。
コンテキストに含める
  • コンテキストに含まれたかは、画面の赤枠で囲ってある部分が赤い丸が表示されることで確認できます。
コンテキスト追加前の表示
コンテキスト追加前の表示
コンテキスト追加後の表示
コンテキスト追加後の表示

(2) スパイダーによる診断対象ページ自動的収集

  • 「既存のコンテキスト」を選択し、マウスの右クリックでメニューを表示し、[スパイダー]をクリック
スパイダー メニュー
  • スパイダー検索 ダイアログ が 表示されたら、[スキャンを開始]ボタンをクリックし、診断対象のURLからサイトに含まれるページを自動的に収集。
スパイダー検索 ダイアログ
スパイダー検索による脆弱性診断対象ページ自動収集

(3) 動的スキャンによる自動脆弱性診断実施

  • 「既存のコンテキスト」を選択し、マウスの右クリックでメニューを表示し、[動的スキャン]をクリック
動的スキャン メニュー
  • スパイダー検索 ダイアログ が 表示されたら、[スキャンを開始]ボタンをクリックし、診断対象のURLからサイトに含まれるページを自動的に収集。
動的スキャン ダイアログ
動的スキャンによる自動脆弱性診断実施

2.手動診断

ZAP では、Webサーバに対するリクエストの任意の部分を手動で書き換えて送信することが出来ます。
この[手動リクエスト]機能を利用して脆弱性診断をすることで、静的コード分析に基づいた動的スキャンでは検出の難しい脆弱性診断が可能になります。

  • プロキシをZAPに設定したブラウザからアクセスすると、画面下にリクエスト履歴が表示されます。
    その履歴から任意のリクエストを選択し、マウスの右クリックでメニューを表示し、[再送信]をクリック
再送信 メニュー
  • 手動リクエスト ダイアログで、ヘッダ情報やPOSTパラメタ等を変更して、[送信]ボタンをクリック
手動リクエスト ダイアログ
  • 手動リクエスト に対して、Webサーバから返信された内容をレスポンスで確認
手動リクエスト ダイアログ レスポンス

3.脆弱性診断結果 レポート出力

ZAP では、脆弱性診断結果をレポートとして出力することができます。

  • メニュー[レポート]>[Generate Report …]をクリックし、Generate Report ダイアログを表示
Generate Report ... メニュー
  • Generate Report ダイアログ が 表示されたら、診断対象のURLを選択して、[Generate Report]ボタンをクリックすると、下図に示す様なレポートがブラウザ上に出力されます。

    ※本記事 および このレポートが示すドメインは、OWASP ZAP を説明するためのものであり、実際には運用しておりません。
Generate Report ダイアログ
Call Center

076-218-5068

  月~土 10:00~17:00 受付

本事例の関連サービス

OWASP ZAP ロゴ

Webアプリケーション 脆弱性診断支援

脆弱性診断実施の他、お客様自身でも診断ができる様にOWASP ZAP(無償ツール)の使い方をサポート

ヒントの発見

情報セキュリティ対策等 よろず相談

情報セキュリティ対策に関する お困りごと や ご相談 に対してアドバイスします。
また情報セキュリティに関する各種ご依頼事も承ります。

5,000円/30分~