IPAでも紹介された脆弱性発見ツール?のOWASP ZAPをつかってみました。

ダウンロードは以下。
https://github.com/zaproxy/zaproxy/wiki/Downloads
親切にも各OS向けインストーラが用意されている模様。
macではbrew caskでのインストールもサポートされているようだったのでcaskでインストールしました。バージョンは2.5.0。

$ brew cask install owasp

とにかく試したいならクイックスタートタブの攻撃対象URLにURLを入力し、攻撃ボタンを押せば結果が出てくる。
私が試したかったのは要ログインサイトだったので、こことかここのサイトをみながら設定。

コンテキストの設定がなかなかうまく出来なくてハマった。 ポイントは、とにかく設定をよく確認すること。

サイトに対してめちゃめちゃなパラメタを送りまくるのでサービスイン前に実施すること。

割とお手軽にセキュリティのチェックを実施できるので、 セキュリティ診断にお金をかけられない事情がある場合などには使ってみると良さそうです。

参考URL