OWASP ZAPで脆弱性診断 設定編

未分類
スポンサーリンク

はじめに

本章ではOWASP ZAP + Firefoxの設定をしていきます。
また、診断用のブラウザとしてFirefox使います。
※Firefoxのインストールがまだの方はインストールしてください。

OWASP ZAPのインストール

前章でOWASP ZAPのインストール編を紹介しました。
インストールがまだの方は前章を参考にしてください。

OWASP ZAPの設定

ポートの設定

OWASP ZAPが待ち受けるポート番号を設定します。
ヘッダメニューの「ツール」をクリック。

ツールクリック後、オプションをクリックすると以下の画面が表示されます。
Local ProxiesをクリックしてAdressと、ポートを設定します。
※ポートは他サービスと被らない番号にします。

設定したらOKで適応も忘れずに。

ルート証明書について

なぜ証明書?と思うかもしれません。
※診断するサイトがHTTPであればスルーしてください。

OWASP ZAPをローカルプロキシとして使用して、HTTPSでアクセスするためには、OWASP ZAPが生成した証明書をブラウザにインポートしておく必要があるのです。

そして、このルート証明書にも有効期間があります。
証明書の有効期限も切れそうな場合、もしくは切れた場合更新する必要がありますが、ここでは端折ります。

更新方法は以下のサイトを参考に。

ルート証明書の発行

それではあらためて、証明書の生成方法に移ります。
ヘッダメニューのツールをクリック。

ツールクリック後、オプション => 「ダイナミックSSL証明書」をクリックします。
すると、以下の画面が表示されます。

保存しましょう。
保存の場所は任意のディレクトリで問題ありません。

Firefoxの設定

Firefoxの設定をしていきます。

ルート証明書の適用

ツールバーのオプション、もしくはオプションアイコンをクリック。

左メニューの「プライバシーとセキュリティ」を選択して、「証明書を表示」をクリック。

「認証局証明書」タブを選択してインポート。

さきほど保存した証明書を指定しましょう。

ウェブサイトの識別を信頼するにチェックしてOKをクリック。

そうすると一覧にOWASPの証明書が追加されていることが確認できます。
確認したらOKをクリック。

ポートの設定

ツールバーのオプション、もしくはオプションアイコンをクリック。

左メニューの「一般」を選択して、ネットワーク設定の「接続設定」をクリック。

「手動でプロキシを設定する」を選択し、プロキシとポートを入力して、「すべてのプロトコルでこのプロキシ」を使用するにチェック。

ここで入力するプロキシとポートはOWASP ZAPで指定したプロキシとポートと同一にします。

長くなりましたが、これで診断するための準備が整いました。
次章で実際に診断を開始していきます!

タイトルとURLをコピーしました