OWASP ZAPで脆弱性診断 診断編

広告

前置き


準備


本章ではOWASP ZAPを使用して自サイトの脆弱性診断をしていきます。
が、その前に準備としてインストールと診断をするための設定が必須となります。
インストール編
設定編

診断方法


OWASP ZAPの診断機能は様々ありますが、今回自分がやった診断方法は、
OWASP ZAPをプロキシとして使用し、リクエストを再現して脆弱性チェックする方法です。
簡易的なチェック方法として指定したURLをルートとし、スキャンをかける診断方法がありますが、人間が操作して辿りつけるようなインプットまで再現できません。
今回の診断方法は実際に操作したリクエストを元に脆弱性を検知してくれる方法となります。
簡易チェックと組み合わせるとよりより効果的でしょう。
また、OWASP ZAPはこのほかにも診断機能は充実しているので、背景に合わせて必要な診断をするのがよいでしょう。
診断機能については以下のサイトを参考にしました。
http://tech-blog.rakus.co.jp/entry/2018/01/18/112241

下準備


OWASP ZAPとFire Foxを立ち上げましょう。

診断サイトの登録


まず診断するサイトをFire Foxで開きましょう。
そして適当にサイト内で画面遷移してみましょう
そうするとどうでしょう。OWASP ZAPの「履歴」タブに操作したリクエストがリアルタイムで蓄積されていきます。



さらに左メニュー「サイト」項目に操作したサイトがグルーピングされていきますので診断するサイトをコンテキストに含めましょう。
コンテキストに登録したサイトが診断する対象のサイトになります。
決して他人のサイトを対象とせず、自サイトのみを対象とするよう気を付けてください。



診断対象サイトの上にマウスのカーソルを合わせて右クリック⇒コンテキストに含める



サイト名の旗の色が赤色になるはずです。
ちなみにサイト配下全て対象とする場合は、サイトのルートを登録して、「サイトホスト/.*」というように「/.*」を付与すると配下全てを対象とすることができます。



操作履歴を残す


リクエストを再現する方法として診断サイトをぽちぽちします。
機械操作できないようなリクエストもこうやって手動で履歴に残すことによって診断の対象としてくれるのがいいですね。
どんどん履歴に蓄積していきましょう。



診断実行


トップレベルツールバーを選択して「動的スキャン」を選択。
登録したサイトのコンテキストを選択しましょう。



選択したら、スキャン実行!
あとはOWASP ZAPがリクエスト操作の履歴をもとにサイトに対して脆弱性がないかスキャンしてくれます。
進捗バーが100%になるまで待ちましょう。(結構がっつりやってくれますので気長に待ちましょう・・・)



診断結果


進捗バーが100%になったらアラートタブを選択してみましょう。
脆弱性が含まれるアラートがでてきます。(あれば)



項目をクリックすれば解説等も確認できます。
しっかり対策を講じましょう!

最後に


作業が終わったらアドオンのプロキシの設定を解除しておくことを忘れずに!
一回一回戻すのが面倒ならアドオンとかで切り替えられるようにしても良いかもです。
また大事なことなので繰り返しますが、決して他人のサイトを対象としないこと。

以上になります!
広告


おススメコンテンツ


関連記事
OWASP ZAPで脆弱性診断 インストール編

OWASP ZAPで脆弱性診断 インストール編

その他 2018-10-23
OWASP ZAPで脆弱性診断 設定編

OWASP ZAPで脆弱性診断 設定編

その他 2018-10-23


この記事を読んだ人におススメな記事
XSS対策 特定のタグだけ許可したい時どうする?

XSS対策 特定のタグだけ許可したい時どうする?

PHP 2018-10-13

Profile