こんにちは、 鯨井貴博@opensourcetechです。
今回は以前より使ってみたかったWeb上の脆弱性を確認するツール、
OWASP ZAPを使ってみようと思います。
ちなみにOWASPとはOpen Web Application Security Projectの略で、
ZAPはZed Attack Proxyの略となります。
詳細については、OWASPのホームページで確認出来ます。
まず、OWASP ZAPですが、以下のURLからダウンロード出来ます。
https://github.com/zaproxy/zaproxy/wiki/Downloads?tm=2
今回はMac OS X用をダウンロードしました。
インストールは、クリックしてアプリケーションのコピーするだけ。
起動すると、ライセンスに関する同意を求められますので、
Acceptをクリックします。
※Apache License Version 2.0なんですね。
起動後の画面です。いずれかを選択します。
続いて使い方ですが、至ってシンプル。
攻撃対象URLを入力し、攻撃をクリックするだけです。
※なお、攻撃対象URLですが、ご自身で管理しているURLにのみに実施下さい
攻撃を実施すると、
下部でスキャン状況が確認出来ます。
攻撃結果は、「アラート」タブで確認出来、
どのような脆弱性を持っているかが表示されます。
具体的な内容については、
各項目を選択すると確認出来、
以下の場合「クリックジャッキング攻撃」やXSSなどに対する脆弱性があることがわかります。