OWASP ZAP
2021-11-14 (日) 12:02:27
OWASP ZAP †
- OWASP Zed Attack Proxy
- https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
- https://github.com/zaproxy
OWASP ZAP とは †
- Paros
- 元々はParosという名前のツールだった。
インストール †
ダウンロード †
https://github.com/zaproxy/zaproxy/wiki/Downloads
インストール †
設定 †
- ローカル・プロキシの設定
- ツール >オプション >(左のメニュー)ローカル・プロキシ
- Address:(Default)localhost
- ポート:
- ツール >オプション >(左のメニュー)ローカル・プロキシ
OWASP ZAP の機能 †
モード †
- セーフモード
- プロテクトモード
- 標準モード
- 攻撃モード
コンテキスト †
- 診断対象のURLを登録したもの
スコープ †
- 診断対象範囲のこと
スパイダー †
- 診断対象のサイトの情報を収集するツール
アドオン †
スキャンポリシー †
その他 †
- HUD
- https://github.com/zaproxy/zap-hud
- WebブラウザでZAPの機能を提供するもの
Firefox を使う †
- ネットワークの設定(プロキシ)
- 三アイコン >オプション >(左のメニュー)一般 >ネットワーク設定:接続設定
- 手動でプロキシを設定する
- HTTPプロキシー:(ZAPのローカル・プロキシの設定)
- ポート:(ZAPのローカル・プロキシの設定)
- すべてのプロトコルでこのプロキシーを使用する:ON
- OK
- 暗号化通信向けの設定
- ZAPで出力したダイナミックSSL証明書のファイル(owasp_zap_root_ca.cer)をインポートする
- 三アイコン >オプション >(左のメニュー)プライバシーとセキュリティ >証明書:証明書を表示...
- 認証局証明書タブ >インポート >ファイルを選択し[開く]
- この認証局によるウェブサイトの識別を信頼する:ON >[OK]
- ZAPで出力したダイナミックSSL証明書のファイル(owasp_zap_root_ca.cer)をインポートする
動作環境 †
- Java