OWASP ZAPというツールでwebアプリケーションの脆弱性診断を実施した。

OWASP ZAPとは、「ZAP is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.」ということなので、プラットフォーム診断は別のツールで行う必要がありそう。

いろいろなテストの実行方法があるようだが、今回はブラウザのプロキシに設定してテストを実行した。

手順

ダウンロード&インストール

上記からダウンロードし、インストール。今回はMacにインストールした。

証明書を設定

ローカルプロキシ経由でSSLを利用しているサイトにアクセスする為に証明書をインストールする。
右ペインのSaveボタンをクリックし保存した証明書をブラウザにインストール。

起動しproxyの設定を確認

デフォルトでは8080番ポートが指定されている。今回はそのまま利用した。

ブラウザのproxy設定

設定したローカルプロキシをブラウザに設定する。

テスト実施

proxyを設定したブラウザでテスト対象のサイトにアクセスし、テストしたいページを開く。

テスト結果の確認

下のAlertsペインに結果が表示される。

公式へのリンク