OWASP ZAPを使ってみた

IPAでも紹介された脆弱性発見ツール？のOWASP ZAPをつかってみました。

ダウンロードは以下。
https://github.com/zaproxy/zaproxy/wiki/Downloads
親切にも各OS向けインストーラが用意されている模様。
macではbrew caskでのインストールもサポートされているようだったのでcaskでインストールしました。バージョンは2.5.0。

$ brew cask install owasp

とにかく試したいならクイックスタートタブの攻撃対象URLにURLを入力し、攻撃ボタンを押せば結果が出てくる。
私が試したかったのは要ログインサイトだったので、こことかここのサイトをみながら設定。

コンテキストの設定がなかなかうまく出来なくてハマった。 ポイントは、とにかく設定をよく確認すること。

• 「コンテキストに含める」のURLをちゃんと設定する
• 認証パラメタが適切か確認する(Form-based AuthenticationのUsername ParameterとPassword Parameter)
• ログイン文字列/ログアウト文字列(Regex pattern identified in Logged In response massage/Regex pattern identified in Logged Out response massage)のいずれかを設定する
• 適切なユーザ作る
• Forced User Modeボタンを有効にする

サイトに対してめちゃめちゃなパラメタを送りまくるのでサービスイン前に実施すること。

割とお手軽にセキュリティのチェックを実施できるので、 セキュリティ診断にお金をかけられない事情がある場合などには使ってみると良さそうです。

参考URL

• http://www.pupha.net/archives/2046/
• http://recruit.gmo.jp/engineer/jisedai/blog/owasp-zap/