トップ 開発環境 OWASP ZAP

OWASP ZAP―Basic認証突破など、使い方をUP

Webアプリケーションの脆弱性診断ツールのOWASP ZAPについての情報を掲載しています。Basic認証突破など使い方をまとめています。

▲記事トップへ

目次

記事の目次です。

1. OWASP ZAPとは?

2. OWASP ZAPの使い方(ガイダンス編)

 2.0. OWASP ZAPのダウンロードとインストール
 2.1. OWASP ZAPの診断項目
 2.2. 動的スキャンと静的スキャン機能

3. OWASP ZAPの使い方(気になる操作編)

 3.1. BASIC認証を突破する方法
 3.2. SOCKSを使用して踏み台サーバ経由でZAPからのクエリを送信する方法

4. OWASP ZAPのソース取得

更新履歴

1. OWASP ZAPとは?

OWASPが提供している、Webサイトの脆弱性を診断するためのぺネトレーションテストツールです。 オープンソースで、無料で使用できます。

2. OWASP ZAPの使い方(ガイダンス編)

OWASP ZAPの使い方を見ていきます。ガイダンス編として、ダウンロードおよびインストール中心にまとめていきます。

2.0. OWASP ZAPのダウンロードとインストール

OWASP ZAPは、「https://github.com/zaproxy/zaproxy/wiki/Downloads」よりダウンロードできます。

OWASP ZAPの実行条件ですが、Javaの実行環境が必要です。コンパイルなど開発環境は不要なのでJDKではなく、JREをインストールしておけば動きます。 JDKにJREも含まれているのでどちらでも大丈夫です。

インストールは、JREもZAPもインストーラの誘導にしたがってインストールすればOKです。

2.1. OWASP ZAPの診断項目

OWASP ZAP 2.4.3の場合のデフォルトのスキャン項目は以下です。

2.2. 動的スキャンと静的スキャン機能

OWASP ZAPには自動診断機能として、「動的スキャン」と「静的スキャン」の機能があります。

3. OWASP ZAPの使い方(気になる操作編)

OWASP ZAPの使い方を更に見ていきます。今度は気になる操作をまとめていきます。

3.1. BASIC認証を突破する方法

OWASP ZAPでBASIC認証を突破する方法です。

Stand AloneのScriptを追加する。

ブラウザで一度認証をすますとAuthorizationがヘッダに付与されるので、 HTTP通信をキャプチャして、「XXXXXX」を調べて以下のコードを設定する。

org.parosproxy.paros.network.HttpSender.addListener(
   new org.zaproxy.zap.network.HttpSenderListener {
     getListenerOrder: function() {
       return 1;
     },

     onHttpRequestSend: function(msg, initiator) {
       msg.getRequestHeader().setHeader(
         "Authorization", "Basic XXXXXX");
     },

     onHttpResponseReceive: function(msg, initiator) {
     }
});

3.2. SOCKSを使用して踏み台サーバ経由でZAPからのクエリを送信する方法

ZAPはJavaで出来ているので一般的なJavaのVMオプションが使えます。 起動スクリプト(<インストールディレクトリ>\zap.bat)のjvmoptsに以下を追加することでSOCKS接続できます。

-DsocksProxyHost=<SOCKS接続サーバ> -DsocksProxyPort=<SOCKSのポート>

4. OWASP ZAPのソース取得

ZAPは、オープンソースなのでコードを取得してデバックや不具合の修正が行えます。 ソースは、以下に置いてあります。

https://zaproxy.googlecode.com/svn

更新履歴

加筆修正を行ってブラッシュアップしていきます。以下は更新履歴になります。

戻る

スポンサーリンク

サイト内のページ

言語
C・C++ /HTML /Java /JavaScript /PHP /シェルスクリプト

開発環境
Ant /Burp /Eclipse /Fiddler /gcc /gdb /Git /g++ /JDK /JMeter /JUnit /Teraterm /ZAP

技術・仕様
Ajax /CORBA /Jakarta EE(旧称J2EE、Java EE) /JNI

ライブラリ/Framework/CMS
bootstrap /jQuery /FuelPHP /Lucene /MyBatis /Seasar2 /Spring /Struts /WordPress

Web API
Google Maps

ITインフラOSとミドルウェア
Linux /Windows /シェル
ActiveMQ /Tomcat /MariaDB /MySQL /Nagios /Redis /Solr

ITインフラサーバー
公開Webサーバー

ITインフラネットワーク
プログラミング /構築

ITインフラセキュリティ
公開サーバーのセキュリティ

PC製品
ZOTAC

SI
ホームページの作り方

その他
IT用語 /ITスキル体系

スポンサーリンク

関連サイト内検索ツール

zealseedsおよび関連サイト内のページが検索できます。

IPアドレス確認ツール

あなたのグローバルIPアドレスは以下です。

3.235.199.19

HTMLの表示色確認ツール

パスワード生成ツール

文字数のプルダウンを選択して、取得ボタンを押すと「a~z、A~Z、0~9」の文字を ランダムに組み合わせた文字列が表示されます。

ここに生成されます。

スポンサーリンク