OWASP ZAPで脆弱性診断 インストール編

広告

OWASP ZAPとは


OWASP ZAPとはWEBアプリケーションの脆弱性診断ツールです。

自作サイトに脆弱性が存在しているとWEBサイトを改ざんされてしまったり、ダウンさせられたり、個人情報の流出につながります。
このようなサイバー攻撃を未然に防ぐために自作サイトの穴をチェックすることは必須です。

OWASP ZAはオープンソースで、かつ無償で使うことができます。
勿論、全てのセキュリティホールを洗い出すのは難しいですが、チェックする手段の一つとしてはかなり強力な武器となります。

今回はOWASP ZAPを導入~チェックするまでの流れをメモしておきます。

前提条件


動作させるにはver1.8以上のJAVAのインストールが必須です。
JREをインストールしていない場合、あらかじめ以下のOracleのサイトからインストールをしておきましょう。

インストール


下記サイトからインストーラをダウンロードしましょう。
https://github.com/zaproxy/zaproxy/wiki/Downloads

環境に合わせてインストールするverは適宜変更してください。
今回はWindowsの64ビット版をダウンロードしました。



exeファイルがインストールできるので、実行してインストーラを立ち上げましょう。



※ちなみにJAVAが入っていないと以下のようなアラートが出てきます。




インストーラの準備ができると以下画面が表示されるので「次へ」ボタンをクリック。



「承認する」を選択して次へ。



インストール先等の設定が不要であれば「標準インストール」のまま「次へ」をクリック。



「インストール」をクリック。インストールが開始されます。



インストールは以上!



デスクトップにアイコンができました。




起動


デスクトップにできたアイコンをクリックすると早速立ち上がります。






なにかポップアップがでてきたが、これは好みの選択でよさげ。



以下のサイトを参考にして、前verと同じ挙動でよければ「継続的に保存せず、必要に応じてセッションを保存」を選択し、
「選択を記録して、再度問い合わせない。」にチェック。
詳細も兼ね、ちゃんと把握したい人は以下サイトを参考に。
https://www.pupha.net/archives/3056/

ってな感じで導入までは以上になります。
広告


おススメコンテンツ


関連記事
OWASP ZAPで脆弱性診断 設定編

OWASP ZAPで脆弱性診断 設定編

その他 2018-10-23
OWASP ZAPで脆弱性診断 診断編

OWASP ZAPで脆弱性診断 診断編

その他 2018-10-27


この記事を読んだ人におススメな記事
XSS対策 特定のタグだけ許可したい時どうする?

XSS対策 特定のタグだけ許可したい時どうする?

PHP 2018-10-13

Profile