「個人情報漏えいでニュースになんて乗りたくない!!」
「SQLインジェクションによる攻撃を受けたくない・・・」
「Webのセキュリティ・脆弱性診断ツールを探している」
このような場合には、OWASP ZAPがオススメです。
この記事では、OWASP ZAPのインストールについて解説しています。
本記事の内容
- OWASP ZAPとは?
- OWASP ZAPのダウンロード
- OWASP ZAPのWindowsへのインストール
- OWASP ZAPの動作確認
それでは、上記に沿って解説していきます。
OWASP ZAPとは?
OWASP ZAPは、Webアプリケーションの脆弱性診断ツールです。
オープンソースとして開発されており、無料で利用することができます。
そもそも、脆弱性診断ツールを使う理由は脆弱性対策のためです。
Webサイトに脆弱性があると、次のような攻撃を受ける危険性があります。
- SQLインジェクション
- クロスサイト・スクリプティング
SQLインジェクションについては、ここ数日の間に以下のニュースがありました。
不正アクセスによる個人情報漏えいに関するお詫びとお知らせお知らせ(矢野経済研究所)
https://www.yano.co.jp/announce/781
名古屋大学への不正アクセスによる個人情報流出について
https://www.nagoya-u.ac.jp/info/20220628_icts.html
それぞれのお詫びページに、「SQLインジェクション」と記載されています。
SQLインジェクションは、個人情報の流出につながる場合が多いです。
データベースにアクセスして、そこから情報を抜き出すことができますからね。
おそらく、これらは氷山の一角でしょう。
また、SQLインジェクション以外の攻撃も存在しています。
これらの攻撃を未然に防ぐためには、脆弱性を事前に潰しておく必要があります。
事前に対策するためには、脆弱性を把握しないといけません。
その際に、脆弱性診断ツールのOWASP ZAPが活躍します。
以上、OWASP ZAPについて説明しました。
次は、OWASP ZAPのダウンロードを説明します。
OWASP ZAPのダウンロード
現時点(2022年6月末)におけるOWASP ZAPの最新バージョンは、2.11.1です。
この最新バージョンのOWASP ZAPは、2021年12月11日にリリースされています。
公式サイトのダウンロードページから、最新版をダウンロードできます。
OWASP ZAP – Download
https://www.zaproxy.org/download/
上記ページにアクセスすると、次の画面が表示されます。
今回は、Windows(64bit)にインストールします。
そのため、「Windows (64) Installer」を選択。
ダウンロードボタンをクリックすると、ダウンロードが始まります。
ダウンロードは、すぐに完了します。
以上、OWASP ZAPのダウンロードを説明しました。
次は、OWASP ZAPのWindowsへのインストールを説明します。
OWASP ZAPのWindowsへのインストール
先ほどダウンロードしたexeファイルを実行します。
次のような画面が表示されます。
「次へ」ボタンをクリック。
規約の確認画面です。
「承認する」を選択したら、「次へ」ボタンをクリック。
インストール形式の選択です。
「標準インストール」を選択したまま、「次へ」ボタンをクリック。
最終確認画面です。
設定に問題なければ、「インストール」ボタンをクリック。
インストールの処理自体は、すぐに終わります。
「終了」ボタンをクリックして、画面を閉じます。
OWASP ZAPのインストールが完了していれば、デスクトップにアイコンを確認できます。
以上、OWASP ZAPのWindowsへのインストールを説明しました。
最後は、OWASP ZAPの動作確認を説明します。
OWASP ZAPの動作確認
OWASP ZAPを使って、脆弱性診断を行います。
診断対象となる脆弱性を持ったサイトを用意しましょう。
と言っても、そんなことはすぐにできません。
なんとありがたいことに、脆弱性のあるサイトが用意されています。
OWASP Juice Shop
https://owasp.org/www-project-juice-shop/
サーバーにインストールして利用することが想定されています。
インストールする環境や時間がある方は、そちらをインストールしてください。
そんな余裕はなく、すぐにでもOWASP ZAPを試したいと場合もあるでしょう。
そのようなときは、次のオンラインデモを利用しましょう。
OWASP Juice Shopのオンラインデモ
https://juice-shop.herokuapp.com/
上記サイトを対象に脆弱性診断を試しましょう。
次のアイコンから、OWASP ZAPを起動します。
OWASP ZAPを起動すると、次の画面が表示されます。
ZAPセッションの保持方法は、動作確認では以下を選んでおきます。
「継続的に保存せず、必要に応じてセッションを保存」
選択して、「開始」ボタンをクリック。
次のようなポップアップが表示されたら、「OK」で閉じます。
Welcomeページの「Automated Scan」を選択します。
次のような画面が表示されます。
「URL to attack」には、オンラインデモのURLを入力。
対象のURLを入力して、「攻撃」ボタンをクリック。
脆弱性診断が実施され、その過程が表示されます。
脆弱性診断が完了すると、診断結果の画面(アラート)が表示されます。
オンラインデモには、これだけの脆弱性があるということです。
怖いですね~
でも、さすがに致命的な脆弱性はありません。
もしあったら、オンラインデモ自体が致命的な攻撃を受けてしまいますからね。
ここでは、「Median」な脆弱性を診断された「クロス ドメインの設定ミス」を見てみましょう。
該当する脆弱性を持つページのURLを確認できます。
この中から、一つのURLを選択してダブルクリック。
次のように詳細を確認できます。
解決方法も表示されています。
このように確認しながら、脆弱性対策を行っていくことになります。
以上、OWASP ZAPの動作確認を説明しました。