Hello there, ('ω')ノ

 

OWASP ZAPをつかっているとなんだか不安になってきて。

これまで読んできたマニュアルやブログでは、明確には書いてなくて。

もしかすると読み飛ばしているのかもしれず。

まずは、DVWAを起動して『SQL Injection』のメニューへ。

 

 

OWASP ZAPのサイトに『SQL Injection』のURLが表示されたので。

今回は、このURLのみに絞って検証することに。

まずは、コンテキストでこのURLにスコープを絞って。
アクセスと同時にスキャンさせるとのことで。

アラート一覧は、以下のような感じ。

 

とりあえず、パッシブスキャンにあたるスパイダーを開始すると。

アラート一覧が増えていた。

どのような違いがあるのだろうかと疑問に思って。

 

次に動的スキャンを実行してみると。

アラート一覧に変化はなく。

いまのところ、SQLインジェクションの脆弱性は検出されず。

 

 

もしやとおもって、入力ベクトルすべてにチェックを入れて実行すると。

XSSの脆弱性は検出できたものの。

肝心のSQLインジェクションは、未検出で。

どうもZAPがパラメータを入力してボタンを押すまでは自動でやってくれないような。

 

 

次に、『SQL Injection』メニューの画面で『Submit』ボタンを押してみることに。

OWASP ZAPのサイト一覧も一旦クリアして。

 

 

するとサイト一覧にはパラメータ付きのURLが一行追加されて。

ただし、アラート一覧は先ほどのものとは内容は同じで。

 

 

スパイダーを実行すると、パラメータ付きのサイトが増えた分がアラートに追加され。

 

 

次に入力ベクトルをリセットして、動的スキャンを実行すると。

ようやくSQLインジェクションが検出された。

 

 

ツールの特徴や使い方を熟知せずに脆弱性診断をすると漏れがでそうに思えて。

 

Best regards, (^^ゞ