shikata ga nai

Private? There is no such things.

OWASP ZAPをつかった診断の流れをまとめてみた

Hello there, ('ω')ノ

 

OWASP ZAPについても操作についてまとめておこうかと。

まずは、ローカルプロキシを使うために。

 

f:id:ThisIsOne:20200303135007p:plain

 

プロキシの設定を確認して。

 

f:id:ThisIsOne:20200303135122p:plain

 

『ツール』⇨『オプション』で静的スキャンの検査項目を確認して。

 

f:id:ThisIsOne:20200303135453p:plain

 

動的スキャンの検査項目は、『ポリシー』⇨『スキャンポリシー』でと。

 

f:id:ThisIsOne:20200303135730p:plain

 

実行モードは、『プロテクトモード』を選択して。

ここは、他のサイトに迷惑をかけないためにも本当に重要でして。

 

f:id:ThisIsOne:20200303135846p:plain

 

いよいよ、サイトにアクセスして。

 

f:id:ThisIsOne:20200303140309p:plain

 

サイト一覧に反映されることを確認して。

ここでのポイントが、クロール機能に頼りきると漏れがあったりと。

なので、一通りは遷移図等に従って操作して確認しておくことがお勧めで。

漏れがあっては困りますので。

 

スパイダー機能については、検査対象のサイトを右クリックして。

『攻撃』⇨『スパイダー』を選択して。

 

f:id:ThisIsOne:20200303155900p:plain

 

診断時にデータを変更させないために下記のチェックを外してスキャンを開始。

 ・Process forms

 ・POST forms

 

f:id:ThisIsOne:20200303160041p:plain

 

はじめにすべてのサイトを閲覧していればサイト一覧に表示されるとおもいますが。

はじめからスパイダーを使用した際は、検出されていないURLがないかを確認して。

なければサイトへアクセスして,再度スパイダーで検出させて。

 

次に動的スキャンをする前に検査項目を確認して。

 

f:id:ThisIsOne:20200303135551p:plain

 

必要な検査項目だけに絞って。

 

f:id:ThisIsOne:20200303135730p:plain

 

次に検査対象のURLをコンテキストへ含めて。

 

f:id:ThisIsOne:20200303143230p:plain

 

すると、追加されたURLのアイコンは、ナルトのような表示がくっついて。

また、サイト一覧を右クリックしてコンテキストから除くこともできて。

 

f:id:ThisIsOne:20200303151041p:plain

 

 下記のような感じで、コンテキスト対象外へと。

 

f:id:ThisIsOne:20200303151138p:plain


単なるページ遷移だけでは十分に動的スキャンが機能せず。

ポイントは、きちんとデータを入力して実行ボタンを押したりと。

一通り機能を確認しておくことがポイントで。

 

f:id:ThisIsOne:20200305154045p:plain


最後にレポートの生成については。

Burp Suiteのように脆弱性個別での生成はできそうもなく。

 

f:id:ThisIsOne:20200305155108p:plain

 

出力した結果は、こんな感じで。

Burp Suiteと比較するとちょっと地味な感じ。

でも2つのツールを組み合わせて評価することでより精度が高くなるようにも思えて。

 

f:id:ThisIsOne:20200305155506p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain