Web アプリケーション脆弱性診断ツールOWASP ZAPを使ってみた
こんにちは。
今回、Web アプリケーション脆弱性診断ツールの OWASP(Open Web Application Security Project) ZAP を使ってみた感触をレポートします。
インストール
インストール環境は、Windows Server 2012 R2 です。
前提として JRE が必要となりますので、インストールされていない場合は、ここからインストールしてください。
前提を満たした上で、ここ から OWASP ZAP をダウンロードします。
2016-09-17_00h37_30
その後は以下の流れでインストールします。
2016-09-17_00h36_25
2016-09-17_00h36_49
2016-09-17_00h36_56
2016-09-17_00h37_04
2016-09-17_00h37_10
2016-09-17_00h37_17
2016-09-17_00h37_46
インストールが完了すると、デスクトップ上に以下のアイコンが作成されます。
2016-09-17_00h37_54
使ってみる
デスクトップに作成されたアイコンをダブルクリックします。
2016-09-17_00h37_54
利用許諾を同意(Accept)します。
2016-09-17_00h50_20
起動中。
2016-09-17_00h51_16
初回の問い合わせは以下のように設定してOKをクリックします。
2016-09-17_00h51_39
弊社Blogに対して、攻撃をしてみます。(みなさんはマネしないでくださいね!)
2016-09-17_00h53_16
進行します。(ちょっとどきどき)
2016-09-17_00h54_41
完了すると、アラートの部分で確認できます。説明も日本語で非常にわかり易いです。
2016-09-17_00h59_01
あとがき
前項のアラート画像は、セキュリティをさらすことになるのでボカシを入れさせていただきました(笑)
大きな脆弱はなく安心でした。
このように手軽に基本的なチェックができるオープンソースがあることは助かりますね。
これらのチェックを実施することで安心はできませんが1つの指標になると思います。
注意点は、これらは攻撃と同じようにチェックするため ZAP を起動してすぐの注意書きにもありますが、チェック対象にするサイトへは必ず同意の上実施してください。
2016-09-17_01h03_11
それではまた次回お会いしましょう。
