Shikata Ga Nai

Private? There is no such things.

OWASP ZAPの機能による検出内容を比較してみた

Hello there, ('ω')ノ

 

OWASP ZAPをつかっているとなんだか不安になってきて。

これまで読んできたマニュアルやブログでは、明確には書いてなくて。

もしかすると読み飛ばしているのかもしれず。

まずは、DVWAを起動して『SQL Injection』のメニューへ。

 

f:id:ThisIsOne:20200304150112p:plain

 

OWASP ZAPのサイトに『SQL Injection』のURLが表示されたので。

今回は、このURLのみに絞って検証することに。

まずは、コンテキストでこのURLにスコープを絞って。
アクセスと同時にスキャンさせるとのことで。

アラート一覧は、以下のような感じ。


f:id:ThisIsOne:20200304145927p:plain

 

とりあえず、パッシブスキャンにあたるスパイダーを開始すると。

アラート一覧が増えていた。

どのような違いがあるのだろうかと疑問に思って。

f:id:ThisIsOne:20200304150334p:plain

 

次に動的スキャンを実行してみると。

アラート一覧に変化はなく。

いまのところ、SQLインジェクションの脆弱性は検出されず。

 

f:id:ThisIsOne:20200304150451p:plain

 

もしやとおもって、入力ベクトルすべてにチェックを入れて実行すると。

XSSの脆弱性は検出できたものの。

肝心のSQLインジェクションは、未検出で。

どうもZAPがパラメータを入力してボタンを押すまでは自動でやってくれないような。

 

f:id:ThisIsOne:20200304150712p:plain

 

次に、『SQL Injection』メニューの画面で『Submit』ボタンを押してみることに。

OWASP ZAPのサイト一覧も一旦クリアして。

 

f:id:ThisIsOne:20200304150900p:plain

 

するとサイト一覧にはパラメータ付きのURLが一行追加されて。

ただし、アラート一覧は先ほどのものとは内容は同じで。

 

f:id:ThisIsOne:20200304151004p:plain

 

スパイダーを実行すると、パラメータ付きのサイトが増えた分がアラートに追加され。

 

f:id:ThisIsOne:20200304151226p:plain

 

次に入力ベクトルをリセットして、動的スキャンを実行すると。

ようやくSQLインジェクションが検出された。

 

f:id:ThisIsOne:20200304151359p:plain

 

ツールの特徴や使い方を熟知せずに脆弱性診断をすると漏れがでそうに思えて。

 

Best regards, (^^ゞ