はじめに
本章ではOWASP ZAP + Firefoxの設定をしていきます。
また、診断用のブラウザとしてFirefox使います。
※Firefoxのインストールがまだの方はインストールしてください。
OWASP ZAPのインストール
前章でOWASP ZAPのインストール編を紹介しました。
インストールがまだの方は前章を参考にしてください。
OWASP ZAPの設定
ポートの設定
OWASP ZAPが待ち受けるポート番号を設定します。
ヘッダメニューの「ツール」をクリック。
ツールクリック後、オプションをクリックすると以下の画面が表示されます。
Local ProxiesをクリックしてAdressと、ポートを設定します。
※ポートは他サービスと被らない番号にします。
設定したらOKで適応も忘れずに。
ルート証明書について
なぜ証明書?と思うかもしれません。
※診断するサイトがHTTPであればスルーしてください。
OWASP ZAPをローカルプロキシとして使用して、HTTPSでアクセスするためには、OWASP ZAPが生成した証明書をブラウザにインポートしておく必要があるのです。
そして、このルート証明書にも有効期間があります。
証明書の有効期限も切れそうな場合、もしくは切れた場合更新する必要がありますが、ここでは端折ります。
更新方法は以下のサイトを参考に。
ルート証明書の発行
それではあらためて、証明書の生成方法に移ります。
ヘッダメニューのツールをクリック。
ツールクリック後、オプション => 「ダイナミックSSL証明書」をクリックします。
すると、以下の画面が表示されます。
保存しましょう。
保存の場所は任意のディレクトリで問題ありません。
Firefoxの設定
Firefoxの設定をしていきます。
ルート証明書の適用
ツールバーのオプション、もしくはオプションアイコンをクリック。
左メニューの「プライバシーとセキュリティ」を選択して、「証明書を表示」をクリック。
「認証局証明書」タブを選択してインポート。
さきほど保存した証明書を指定しましょう。
ウェブサイトの識別を信頼するにチェックしてOKをクリック。
そうすると一覧にOWASPの証明書が追加されていることが確認できます。
確認したらOKをクリック。
ポートの設定
ツールバーのオプション、もしくはオプションアイコンをクリック。
左メニューの「一般」を選択して、ネットワーク設定の「接続設定」をクリック。
「手動でプロキシを設定する」を選択し、プロキシとポートを入力して、「すべてのプロトコルでこのプロキシ」を使用するにチェック。
ここで入力するプロキシとポートはOWASP ZAPで指定したプロキシとポートと同一にします。
長くなりましたが、これで診断するための準備が整いました。
次章で実際に診断を開始していきます!
