OWASP ZAPで脆弱性診断 インストール編

未分類
スポンサーリンク

はじめに

OWASP ZAPとは

OWASP ZAPとはWEBアプリケーションの脆弱性診断ツールです。

自作サイトに脆弱性が存在しているとWEBサイトを改ざんされてしまったり、ダウンさせられたり、個人情報の流出につながります。
このようなサイバー攻撃を未然に防ぐために自作サイトの穴をチェックすることは必須です。

OWASP ZAはオープンソースで、かつ無償で使うことができます。
勿論、全てのセキュリティホールを洗い出すのは難しいですが、チェックする手段の一つとしてはかなり強力な武器となります。

この記事を見れば、OWASP ZAPを導入方法が分かります。

前提条件

動作させるにはver1.8以上のJAVAのインストールが必須です。
JREをインストールしていない場合、あらかじめ以下のOracleのサイトからインストールをしておきましょう。

https://java.com/ja/download/

インストール

下記サイトからインストーラをダウンロードしましょう。

Downloads · zaproxy/zaproxy Wiki
The OWASP ZAP core project. Contribute to zaproxy/zaproxy development by creating an account on GitHub.

環境に合わせてインストールするverは適宜変更してください。
今回はWindowsの64ビット版をダウンロードしました。

exeファイルがインストールできるので、実行してインストーラを立ち上げましょう。

※ちなみにJAVAが入っていないと以下のようなアラートが出てきます。

インストーラの準備ができると以下画面が表示されるので「次へ」ボタンをクリック。

「承認する」を選択して次へ。

インストール先等の設定が不要であれば「標準インストール」のまま「次へ」をクリック。

「インストール」をクリック。インストールが開始されます。

インストールは以上です。

デスクトップにアイコンができました。

起動

デスクトップにできたアイコンをクリックすると早速立ち上がります。

起動中…

起動しました!

セッション保存方法の設定

起動後、ポップアップが出てきます。
ここではセッションの保存方法について設定できるようです。
後でも設定できるようですが、ここで設定しておきましょう。

ちなみに、OWASP ZAPを使用するにあたり、溜まっていくデータをどこに保存し、どういう名前で保存するか。を、聞いているようですね。

以前のOWASP ZAPのバージョンの挙動と同じでよければ、
「継続的に保存せず、必要に応じてセッションを保存」を選択し、
「選択を記録して、再度問い合わせない。」にチェックをいれればよいでしょう。

特にこだわりはないので上記の通りで設定しました。


インストール編は以上となります。

設定

次章では設定をしていきます。

参考

OWASP ZAP 2.4 のデータ保存について
もうすぐリリースされる OWASP ZAP 2.4 では、起動時に以下のダイアログが表示されます。 ZAP起動時に表示されるダイアログこれは ZAPを使用することで溜まっていくデータをどこにどういう名前で保存するか聞いているのですが、2.3までの挙動で問題なかった人は「No, I do not want to p...



タイトルとURLをコピーしました