Hello there,

 

これまで手動診断で、ほとんどやってきたので。

効率化のためにも、まずはとてもシンプルなレベルでの自動診断方法をと。

まずは、OWASP ZAPを起動して。

『プロテクトモード』であることを確認。

誤って、診断対象外のサイトを攻撃しないためにも重要でして。

 

 

WackoPickoを起動して表示させると。

 

 

WackoPickoのURLがZAPに表示されて。

 

 

それから診断を始める前には、コンテキストというものを作成する必要が。

コンテキストに登録されたURLのみを診断対象とするためにも。

 

 

コンテキストに含めるURLを確認して『OK』ボタンを押すと。

 

 

コンテキストに含まれた診断対象となるURLに含まれるアイコンが変化して。

 

 

ようやく、『動的スキャン』メニューが実行可能に。

 

 

実行結果は、アラート一覧に表示され。

 

 

たとえば、診断内容から『ディレクトリブラウジング』を除外したい場合は。

『ポリシー』メニューから『スキャンポリシー』を選択して。

 

 

『追加』ボタンを押して。

 

 

『ディレクトリブラウジング』のしきい値を『OFF』にして。

 

 

ポリシー名を設定して。

 

 

これまでと同様に『動的スキャン』メニューを選択して。

『ポリシー』タグで、ポリシー名を指定してスキャンを開始すると。

 

アラート一覧から『ディレクトリブラウジング』が排除された。

 

 

Best regards,