技術資料

Webサイトの脆弱性診断を行なえるツール「ZAP(OWASP ZAP)」の基本的な使い方メモです。

脆弱性診断を行なう前に注意すること

ローカル環境に対して実行すること

OWASP ZAPは脆弱性診断のために、指定したWebサイト/Webアプリケーションに対して様々な攻撃を行なうツールです。
Web上に公開されているWebサイト/Webアプリケーションに対して実行すると、色々と大変なことになるので、必ず自分のローカル環境に対して実行すること。

外部サービスとの連携は切っておくこと

Webアプリケーション内で、外部サービスとAPIなどと連携している場合は、診断を行なう前に一旦外部サービスとの連携は切っておきましょう。
診断中にWebアプリケーションから外部サービスに対して大量のリクエストが発生して、これまた色々と大変なことになる恐れがあります。

エラー時のメール通知なども場合によっては切った方が良いかも。または送信先アドレスを変えておくとか

何らかのエラー時にメールなどで通知する処理がある場合、送信先の設定を考慮しておかないと、突然大量の通知が発生して、ちょっと困ることになるケースもあるかしれません。
この辺はケースバイケースかも。

ローカル環境に対して実行するために設定すること

ここからは、現在のZAPの最新バージョンである2.15.0で解説します。また、ブラウザはローカルプロキシの設定が容易なFirefoxを使用します。

ZAPを起動したら、ツールバーの「ツール>オプション」を開き、「Network>Local Servers/Proxies」を開きます。

Main Proxyの項目に以下を入力。

アドレス

localhost

ポート

適当に使っていないポート番号を指定。(※上記の例では58080を指定)

設定したら「OK」を押して保存。

続いて、ブラウザ側の設定。Firefoxを起動して、メニューから「設定>一般」の一番下にある「ネットワーク設定」の「接続設定」をクリック。

以下のような画面が表示されます。

「手動でプロキシーを設定する」にチェックを入れ、「HTTPプロキシー」に「localhost」を、「ポート」には先ほどZAP側で指定したポート番号を設定して保存。

ZAP側とFirefox側の設定がうまくいっていれば、Firefoxで適当なWebサイトにアクセスしようとすると、以下のような警告が出るかと思います。

逆説的ですが、この警告が出ていれば、ZAPとブラウザでローカルプロキシの設定がうまくいっているということです。

ローカル環境にアクセスする

準備ができたら、ローカル環境に用意した診断対象のWebサイト/サービスにFirefoxでアクセスします。

この時、「localhost」とか「127.0.0.1」にアクセスすると、ZAPが認識してくれないっぽいです。
こちらの記事などを参考に、hostsファイルを設定して対処するか、「192.168.*.*」等のローカルネットワーク経由でアクセスするのが良いと思います。

ブラウザに先ほどの警告が出る場合は、「詳細へ進む」⇒「危険性を承知で使用」で先に進みます。

ZAP側の左の履歴表示ウィンドウに、アクセスしたURLが表示されれば設定がうまくいっています。

この時、左上のモード選択タブがプロテクトモードになっていることを必ず確認してください。

脆弱性診断を行ないたい対象URLの上で右クリック⇒コンテキストに含める⇒規定コンテキスト」を選択。何度も言いますが必ず自分のローカル環境に対して実行すること。

脆弱性診断を実行

いよいよ脆弱性診断を実行します。「規定コンテキスト」を右クリックし、「動的スキャン」をクリックします。

続いて「スキャンを開始」をクリック。

スキャンが行なわれ、一覧が表示されます。

「アラート」タブに、発見された脆弱性が表示されます。

「レポート」⇒「Generate Report」で、診断結果のレポートをHTMLで出力することもできます。

診断が終了したら、Firefoxのプロキシ設定を元に戻しておきましょう。