こんにちはますのです。
定期的なペネトレーションテストを自前で出来ないか?ということで調べてみました。
今回参考にした書籍はこちら
あまりWebアプリケーションとかに強いわけではなく、どうして良いか分からないというところに即購入です。
自前でペネトレーションテストをやる機会がある際はぜひ参考にどうぞ。
利用ツール:OWASP ZAPをインストール
OWASP ZAPは「OWASP」が作成、提供している無料のツールです。
インストールしたPCやサーバをプロキシとして設定し、Web通信を監視したり変更が出来るツールとなります。
今回はWindows10端末にOWASP ZAPをインストールして試したいと思います。
OWASP ZAPに必要なもの
OWASP ZAPを利用するためにインストールが必要なものは2つです。
- OWASP ZAP(自動診断ツール)
- Java(JRE)
- ブラウザ(Firefox推奨)
Javaのインストール
OWASP ZAPはJava環境での実行が必要となるため、Java実行環境をインストールします。
1.以下URLの「Windowsオフライン(64bit)」を選択肢ダウンロードする。
https://java.com/ja/download/manual.jsp
OWASP ZAPインストール時に「64bitにjavaが存在しない」と怒られる始末。
OWASP ZAPのインストール
1.以下URLから最新バージョンの対象OSのインストーラをダウンロードする。
https://www.zaproxy.org/download/
※今回は「Windows 64bit」を選択し実行
2.選択肢は全部初期のまま「はい」等の肯定選択肢を選択する。
3.以下のように「セットアップ完了」が出れば完了。
OWASP ZAPを起動
OWASP ZAPを起動すると以下のような画面が表示されます。
1.「Windowsセキュリティの重要な警告」が表示された場合、「プライベートネットワーク」にチェックを入れ「アクセスを許可する」をクリックする
2.「継続的に保存せず、必要に応じてセッションを保存」を選択し、「開始」をクリック
無駄な通信まで記録してしまうことになるため、必要な時だけ保存するという設定にしました。
※ただし、保存し忘れると全部やり直しになるのでケースバイケース。
参考サイト
しかし、お高い…。
自前でやれるところまではやってみる精神なので、コスト見合いを考えながらやれればなという所感であります。