Shikata Ga Nai

Private? There is no such things.

OWASP ZAPの初期設定についてかいてみた

Hello there,

 

OWASP ZAPでローカルプロキシを設定して。

プロキシを経由して、Webサイトにアクセスするには。

『Tools』⇨『Options』を選択して。

 

f:id:ThisIsOne:20191211155940p:plain

 

『Local Proxies』メニューで、Burp Suiteと同じように設定して。

 

f:id:ThisIsOne:20191211160111p:plain

 

また、起動時は『標準モード』となっており。

『Automated Scan』を選択すると。

 

f:id:ThisIsOne:20191211155537p:plain

 

『Quick Start』タブで『Attack』ボタンが実行可能状態であって。

ちなみに『攻撃モード』を選択すると警告がでるので一安心。

 

f:id:ThisIsOne:20191211155815p:plain

 

なので、誤動作で他のサイトを攻撃しないためにも。

『プロテクトモード』がおすすめなわけで。

『セーフモード』だと脆弱性診断の処理はできないようで。

 

f:id:ThisIsOne:20191211155653p:plain


また、安全なウェブサイトの作り方を参考にすると。

 https://www.ipa.go.jp/files/000017316.pdf

 

下記のような赤文字の脆弱性診断は、OWASP ZAPでは難しいようで。

 1) SQL インジェクション
 2) OS コマンド・インジェクション
 3) パス名パラメータの未チェック/ディレクトリ・トラバーサル
 4) セッション管理の不備
 5) クロスサイト・スクリプティング
 6) CSRF(クロスサイト・リクエスト・フォージェリ)
 7) HTTP ヘッダ・インジェクション
 8) メールヘッダ・インジェクション
 9) クリックジャッキング
10) バッファオーバーフロー
11) アクセス制御や認可制御の欠落

 

かといって、自動で診断を行ってくれるから何もしなくてよいのではなく。

誤診もあるので、診断後は手動での確認も必要なので。

やはり、しっかりと手動での診断スキルは必要ではないかと。

 

best regards,