WEB業界で働く人や興味がある人に役立つ情報サイト“qam(カム)”

gucchi

2017/07/12

無料のWEBサイト脆弱性診断ツール【OWASP ZAP】

投稿者: gucchi
カテゴリー: プログラム >セキュリティ

最近はWEBサイトへの攻撃がかなり多く見うけられるようになってきました。
私が管理している比較的小さなWEBサイトでも、何度か攻撃を受けたりしています。
幸い大きな被害は受けていませんが、もし自分が開発したWEBアプリケーションが攻撃を受けて被害が出たなんてことを想像するとゾッとしますね。
セキュリティの専門家ではなくても、開発の段階からある程度基本的な脆弱性への対応は行っておくべきだと思います。
今回は開発時にWEBサイトの脆弱性をチェックするのに役に立つツール【OWASP ZAP】の紹介をしたいと思います。

OWASP ZAPのインストール

以下のサイトよりOWASP ZAPをダウンロードします。
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

実行にはJavaのバージョン7以上が必要となりますので、もしインストールされていないようであれば以下のサイトからダウンロードして事前にインストールしておきます。
http://www.oracle.com/technetwork/java/javase/downloads/index.html

インストールされているかどうかはコマンドプロンプトから以下のようにして確認できます。

この場合だとバージョン1.8.0_91がインストールされています。

準備ができたらOWASP ZAPをインストールします。

OWASP ZAPでWEBサイトの脆弱性をチェックしてみる

それでは早速脆弱性をチェックしてみましょう。
今回は開発中のWEBアプリケーションに対してチェックを行ってみます。
まずはインストールしたOWASP ZAPを起動します。
すると以下のような画面が立ち上がります。

ツール→オプション→ローカルプロキシを選択します。

今回はポートを8087としました。

ブラウザ側のプロキシ設定も同様に行います。

それでは脆弱性チェックを行う開発中のWEBサイトへアクセスしてみます。

チェック対象となるWEBサイトが追加されました。

WEBサイトを選択して右クリックしコンテキストに含めるを選択します。

WEBサイトを選択して右クリックし攻撃→スパイダーを選択し実行します。

するとトップページからリンクされているページを自動的に巡回してチェック対象ページを洗い出してくれます。

さて、いよいよ攻撃を行ってみます。
WEBサイトを選択して右クリックし攻撃→動的スキャンを選択し実行します。

チェックが終わるとアラートタブに見つかった脆弱性の一覧が表示されます。

まとめ

今回は既にチェック済みのWEBサイトが対象でしたので、アラートがあまり表示されませんでしたが、チェックしていないWEBサイトだともっと盛大にアラートが表示されることが大半です。
ここで見つかった脆弱性が全てではありませんが、かなり多くの脆弱性をサポートしていますので手動で一からチェックするよりは手間が減ります。
ただし、あくまで自分が開発中のWEBサイトに対してのみチェックを行うようにしてください。
動的チェックではメールを送信したりデータベースの中身を書き換えたりしてしまう事もありますので、くれぐれも公開済みのWEBサイトのチェックなどしないようにしてくださいね。

最後までお読みいただき、ありがとうございました。
よろしければシェアしていただければ幸いです。

  • このエントリーをはてなブックマークに追加

関連記事

よろしければこちらの記事もお読みください。

WEB業界ならqam!qam(カム)はWEB業界で働く人や興味がある人に役立つ情報サイトです。
マーケティングやデザイン、マークアップ(コーディング)、プログラム、トレンドなどの情報をqamライター陣が執筆。噛めば噛むほど(読めば読むほど)制作・開発や運営・運用、業界知識やノウハウを学ぶことができます。

トップへ