日々更新中です!

【OWASP ZAP】使い方と脆弱性診断のやり方を解説!

  • URLをコピーしました!
悩んでいる男の子

OWASP ZAPの使い方が分からないんだよね。。

こんな悩みを解決します。

  • 本記事の内容
  • OWASP ZAPの使い方
  • OWASP ZAPで脆弱性診断を行う方法
  • 本記事の執筆者
プロフィール
いずみん(どこの写真だよ)
  • 元エンジニア(歴7年)、資格保有数約20個(IT系以外も含む)
  • 物販月利50万円⇒脱サラ
  • 物販、システム開発、アフィリエイト、プログラミング、投資をやっています。
  • 物販は彼女と楽しみながらやっています!

今回は、「OWASP ZAP」の使い方と脆弱性診断のやり方を解説します。

いずみん

すぐ読み終わるので、是非最後まで読んでみてください!

目次

OWASP ZAPインストール手順

Javaのインストール

まず、OWASP ZAPのインストール前にJavaをインストールします。

javaは「1.8」以上が必要になります。

OWASP ZAPのインストール

以下にアクセスし、「Download ZAP」をクリックします。

ダウンロードサイトからインストーラーをダウンロードします。

exeファイルを実行し、ウィザードに従って進めればインストール完了です。

OWASP ZAP設定

OWASP ZAPを実行します。

Windowsユーザの場合、デスクトップにショートカットが作成されます。

ZAPセッション保持方法

ZAPのセッション保持方法を聞かれますが、何でもOKです。

いずみん

今回は、「現在のタイムスタンプでファイル名を付けてセッションを保存」を選択しました。

モード切り替え

左上のモード切り替えプルダウンがあるので、「プロテクトモード」に切り替えます。

診断はサイトを攻撃して確認しますが、誤って意図しないサイトを攻撃しないための設定です。

ローカルプロキシのポート番号変更

ローカルプロキシのポート番号を変更します。

「ツール」⇒「オプション」⇒「Local Proxies」のポートが「8080」に設定されていますが、これを適当な値「12345」等に変更します。

変更しなくてもよいですが、ポートが8080だと競合する可能性があるので念のため設定します。

ブラウザ設定

FireFoxのインストール

ZAPを使う際によく利用されるブラウザは「FireFox」です。

ということで、FireFoxをインストールしていない場合はインストールしてください。

プロキシ設定

「オプション」⇒「一般」の一番下⇒ネットワークの「接続設定」で以下の設定を行います。

手動でプロキシを設定する ON
HTTPプロキシ localhost
ポート 12345(ZAPで設定した値)
すべてのプロトコルでこのプロキシを使用する ON
プロキシなしで接続 空白

脆弱性診断

脆弱性診断を行いたいサイトにアクセスします。

いずみん

僕は自分で作成したAngularアプリにしました。

脆弱性診断を行いたいサイトにアクセスすると、ZAP上に表示されます。

サイトを右クリックし、「コンテキストに含める」⇒「既定コンテキスト」⇒「コンテキストに含める」でサイトを選択⇒OKボタンをクリックします。

この設定をしないと、サイトに対しての攻撃ができません。

サイトを右クリックし、「攻撃」⇒「スパイダー」を選択し、スパイダーを実行します。

緑色は「診断対象URL」、赤色は「診断対象外URL」です。

サイトを右クリックし、「攻撃」⇒「動的スキャン」を選択し、動的スキャンを実行します。

これで診断されます。

いずみん

時間かかるので我慢して待ちましょう!

まとめ

今回は、「OWASP ZAP」の使い方と脆弱性診断のやり方を解説しました。

意外と簡単にできましたね。

ではまた!

  • 自由な生き方がしたいなら!

自由な生き方をするためには、稼ぐスキルを身に付けなければなりません。

当サイト「リバトレ」では稼ぐスキルに関する情報を日々発信しているので、興味のあるものから見て頂ければ嬉しいです。

この記事が気に入ったら
いいね または フォローしてね!

シェアするんやで!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

いずみんのアバター いずみん 自由大好きおじ

自由大好きおじ | 物販月利50万達成⇨脱サラ | 物販(アパレルせどり)・アフィリエイト・プログラミング・投資に関する情報を発信中 | 元エンジニア | 保有資格約20個

コメント

コメントする

目次
閉じる