OWASP ZAP
* OWASP(Open Web Application Security Project。「オワスペ」)で開発された オープンソースの脆弱性検査ツール
補足
* 以下のIPAのサイトで「Paros」と比較しているが、OWASP ZAPは「Paros」をベースに開発https://www.ipa.go.jp/about/technicalwatch/20131212.html
環境設定
動画
https://www.youtube.com/watch?v=NT_tnOpR1moに設定している動画がある
事前準備
* Javaで作成されているので、Java 7以上のJRE/JDKをインストールしておく
ダウンロード/インストール
[1] 以下からダウンロードするhttps://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
[2] ダウンロードしたEXEファイル(今回は「ZAP_2.4.3_Windows.exe」)を起動し、 デフォルトでインストールする # 特に迷わないはず # デフォルトで入れてたらディスクトップにショートカットアイコンがあるはず [2] OWASP ZAP X.X.X(今回は「OWASP ZAP 2.4.3」)を起動する [3] ダイアログ「Do you want to persist the zap session?」が表示されるので 以下のサイトを参照して、適切な選択肢を選び、開始ボタン押下 # 今回、特に初めてインストールしたので # 「Yes, I want to persist this session with name based on the current timestamp」を選んだhttp://www.pupha.net/archives/3056/
OWASP ZAPの実行(クイックスタート)
[1] クイックスタートタブの「攻撃対象URL」に、検査対象先のURL(例「http://localhost:8080/」)を設定 [2] 「攻撃」ボタン押下で検査開始 => 何か問題があれば、アラートタブで表示される ちなみに、テスト用のためのサイトを立ち上げて、診断してみたら 「X-Content-Type-Options header Missing」が表示された。 # 以下の関連記事で扱った「X-Content-Type-Options: nosniff」を付加すればいいかと。http://blogs.yahoo.co.jp/dk521123/35872133.html
注意
* 初めに診断する際は、必ずテスト環境で行うこと(間違っても本番環境では行わない事) (以下に経験談ある)http://www.slideshare.net/zaki4649/sql-35102177
参考文献
http://securitymemo.blogspot.jp/2014/11/owasp-zap-owasp-zap.htmlhttp://tech.sanwasystem.com/entry/2015/08/24/000000
http://www.lancork.net/2013/08/find-vulnerability-owasp-zap/
http://teamduet.hatenablog.com/entry/2014/11/26/171453
http://securitymemo.blogspot.jp/2014/12/owasp-zap.html
運用マニュアル
https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg/edit
豊富な内容
http://www.pupha.net/owasp-zap/
