自前でペネトレーションテストを試してみる:OWASP ZAPインストール編

こんにちはますのです。
定期的なペネトレーションテストを自前で出来ないか?ということで調べてみました。

今回参考にした書籍はこちら

あまりWebアプリケーションとかに強いわけではなく、どうして良いか分からないというところに即購入です。
自前でペネトレーションテストをやる機会がある際はぜひ参考にどうぞ。

利用ツール:OWASP ZAPをインストール

OWASP ZAPは「OWASP」が作成、提供している無料のツールです。

インストールしたPCやサーバをプロキシとして設定し、Web通信を監視したり変更が出来るツールとなります。
今回はWindows10端末にOWASP ZAPをインストールして試したいと思います。

OWASP ZAPに必要なもの

OWASP ZAPを利用するためにインストールが必要なものは2つです。

  • OWASP ZAP(自動診断ツール)
  • Java(JRE)
  • ブラウザ(Firefox推奨)

Javaのインストール

OWASP ZAPはJava環境での実行が必要となるため、Java実行環境をインストールします。

1.以下URLの「Windowsオフライン(64bit)」を選択肢ダウンロードする。
https://java.com/ja/download/manual.jsp

「Windowsオンライン」をダウンロードし実行したところ失敗しました。
OWASP ZAPインストール時に「64bitにjavaが存在しない」と怒られる始末。
2.ダウンロードした「Windowsオフライン(64bit)」を実行し、あとは指示に従ってインストールする。

OWASP ZAPのインストール

1.以下URLから最新バージョンの対象OSのインストーラをダウンロードする。
https://www.zaproxy.org/download/


※今回は「Windows 64bit」を選択し実行

2.選択肢は全部初期のまま「はい」等の肯定選択肢を選択する。

3.以下のように「セットアップ完了」が出れば完了。

OWASP ZAPを起動

OWASP ZAPを起動すると以下のような画面が表示されます。

1.「Windowsセキュリティの重要な警告」が表示された場合、「プライベートネットワーク」にチェックを入れ「アクセスを許可する」をクリックする

2.「継続的に保存せず、必要に応じてセッションを保存」を選択し、「開始」をクリック

上2つの選択だと、毎回データを記録することになります。
無駄な通信まで記録してしまうことになるため、必要な時だけ保存するという設定にしました。
※ただし、保存し忘れると全部やり直しになるのでケースバイケース。

参考サイト

OWASP ZAP インストール~設定、URL叩けるまで

Web脆弱性診断ツール「OWASP ZAP」とは

外注するとプロがやってくれるので対応方法やコメントなどもくれるので出来れば外注したいのです。
しかし、お高い…。
自前でやれるところまではやってみる精神なので、コスト見合いを考えながらやれればなという所感であります。
最新情報をチェックしよう!