shikata ga nai

Private? There is no such things.

OWASP ZAPのシンプルな自動診断手順についてかいてみた

Hello there,

 

これまで手動診断で、ほとんどやってきたので。

効率化のためにも、まずはとてもシンプルなレベルでの自動診断方法をと。

まずは、OWASP ZAPを起動して。

『プロテクトモード』であることを確認。

誤って、診断対象外のサイトを攻撃しないためにも重要でして。

 

f:id:ThisIsOne:20200114154350p:plain

 

WackoPickoを起動して表示させると。

 

f:id:ThisIsOne:20200114144803p:plain

 

WackoPickoのURLがZAPに表示されて。

 

f:id:ThisIsOne:20200114154634p:plain

 

それから診断を始める前には、コンテキストというものを作成する必要が。

コンテキストに登録されたURLのみを診断対象とするためにも。

 

f:id:ThisIsOne:20200114151051p:plain

 

コンテキストに含めるURLを確認して『OK』ボタンを押すと。

 

f:id:ThisIsOne:20200114151221p:plain

 

コンテキストに含まれた診断対象となるURLに含まれるアイコンが変化して。

 

f:id:ThisIsOne:20200114160210p:plain

 

ようやく、『動的スキャン』メニューが実行可能に。

 

f:id:ThisIsOne:20200114151257p:plain

 

実行結果は、アラート一覧に表示され。

 

f:id:ThisIsOne:20200114152343p:plain

 

たとえば、診断内容から『ディレクトリブラウジング』を除外したい場合は。

『ポリシー』メニューから『スキャンポリシー』を選択して。

 

f:id:ThisIsOne:20200114143926p:plain

 

『追加』ボタンを押して。

 

f:id:ThisIsOne:20200114144023p:plain

 

『ディレクトリブラウジング』のしきい値を『OFF』にして。

 

f:id:ThisIsOne:20200114152537p:plain

 

ポリシー名を設定して。

 

f:id:ThisIsOne:20200114152729p:plain

 

これまでと同様に『動的スキャン』メニューを選択して。

『ポリシー』タグで、ポリシー名を指定してスキャンを開始すると。

 

f:id:ThisIsOne:20200114153111p:plain


アラート一覧から『ディレクトリブラウジング』が排除された。

 

f:id:ThisIsOne:20200114153235p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain