OWASP ZAPで脆弱性診断 設定編

広告

インストール


前章でインストール編を紹介しました。
インストールがまだの方は前章を参考にしてください。
また、診断用のブラウザとしてFireFoxをインストールしました。
本章ではOWASP ZAP + FireFoxの設定をしていきます。

OWASP ZAPの設定


ポートの設定


OWASP ZAPが待ち受けるポート番号を設定します。
ヘッダメニューのツールをクリック。



ツールクリック後、オプションをクリックすると以下の画面が表示されます。
Local ProxiesをクリックしてAdressと、ポートを設定します。
※ポートは他サービスと被らない番号にします。


設定したらOKで適応も忘れずに。

CA証明書の発行


なぜ証明書?と思うかもしれません。
診断するサイトがHTTPであればスルーしてください。
OWASP ZAPをローカルプロキシとして使用して、HTTPSでアクセスするためには、OWASP ZAPが生成した証明書をブラウザにインポートしておく必要があるのです。
そして、このルート証明書にも有効期間があります。証明書の有効期限も切れそうな場合、もしくは切れた場合更新する必要がありますが、ここでは端折ります。
更新方法は以下のサイトを参考に。
https://www.pupha.net/archives/3610/
では証明書の生成方法に移ります。
ヘッダメニューのツールをクリック。



ツールクリック後、オプションをクリックすると以下の画面が表示されます。
この画面でダイナミックSSL証明書をクリックして、保存します。
保存の場所は任意のディレクトリで問題ありません。



Fire Foxの設定


Fire Foxの設定をしていきます。

CA証明書の適用


ツールバーのオプション、もしくはオプションアイコンをクリック。



左メニューのプライバシーとセキュリティを選択して、証明書を表示をクリック



認証局証明書タブを選択してインポート。



ウェブサイトの識別を信頼するにチェックしてOKをクリック。



そうすると一覧にOWASPの証明書が追加されていることが確認できます。確認したらOKをクリック。



ポートの設定


ツールバーのオプション、もしくはオプションアイコンをクリック。



左メニューの一般を選択して、ネットワーク設定の接続設定をクリック



手動でプロキシを設定するを選択し、プロキシとポートを入力して、すべてのプロトコルでこのプロキシを使用するにチェック。


ここで入力するプロキシとポートはOWASP ZAPで指定したプロキシとポートと同一にする。

長くなりましたが、これで診断するための準備が整いました。
次章で実際に診断を開始していきます!
広告


おススメコンテンツ


関連記事
OWASP ZAPで脆弱性診断 インストール編

OWASP ZAPで脆弱性診断 インストール編

その他 2018-10-23
OWASP ZAPで脆弱性診断 診断編

OWASP ZAPで脆弱性診断 診断編

その他 2018-10-27


この記事を読んだ人におススメな記事
XSS対策 特定のタグだけ許可したい時どうする?

XSS対策 特定のタグだけ許可したい時どうする?

PHP 2018-10-13

Profile