Opensourcetechブログ

OpensourcetechによるNGINX/Kubernetes/Zabbix/Neo4j/Linuxなどオープンソース技術に関するブログです。

OWASP ZAPを使ってみる!

 

こんにちは、 鯨井貴博@opensourcetechです。

 

 

今回は以前より使ってみたかったWeb上の脆弱性を確認するツール、

OWASP ZAPを使ってみようと思います。

 

ちなみにOWASPとはOpen Web Application Security Projectの略で、

ZAPはZed Attack Proxyの略となります。

詳細については、OWASPのホームページで確認出来ます。

 

まず、OWASP ZAPですが、以下のURLからダウンロード出来ます。

https://github.com/zaproxy/zaproxy/wiki/Downloads?tm=2

f:id:opensourcetech:20151022164735p:plain

 

今回はMac OS X用をダウンロードしました。

f:id:opensourcetech:20151022164749p:plain

 

インストールは、クリックしてアプリケーションのコピーするだけ。

f:id:opensourcetech:20151022164756p:plain

f:id:opensourcetech:20151022164801p:plain

 

f:id:opensourcetech:20151022164805p:plain

 

 

起動すると、ライセンスに関する同意を求められますので、

Acceptをクリックします。

Apache License Version 2.0なんですね。

f:id:opensourcetech:20151022164811p:plain

 

 

起動後の画面です。いずれかを選択します。

f:id:opensourcetech:20151022164817p:plain

 

 

続いて使い方ですが、至ってシンプル。

攻撃対象URLを入力し、攻撃をクリックするだけです。

※なお、攻撃対象URLですが、ご自身で管理しているURLにのみに実施下さい

f:id:opensourcetech:20151022164823p:plain

f:id:opensourcetech:20151022164831p:plain

 

 

攻撃を実施すると、

下部でスキャン状況が確認出来ます。

f:id:opensourcetech:20151022164836p:plain

 

攻撃結果は、「アラート」タブで確認出来、

どのような脆弱性を持っているかが表示されます。

f:id:opensourcetech:20151022164841p:plain

 

具体的な内容については、

各項目を選択すると確認出来、

以下の場合「クリックジャッキング攻撃」やXSSなどに対する脆弱性があることがわかります。

f:id:opensourcetech:20151022164848p:plain

 

 

 

 

 

にほんブログ村 IT技術ブログ Linuxへ
Linux

にほんブログ村 IT技術ブログ オープンソースへ
オープンソース

Opensourcetech by Takahiro Kujirai