OWASP ZAPをWindows 10にインストールしてみた

※本サイトはアフィリエイト広告を利用しています。
広告

OWASPとは

OWASP(The Open Web Application Security Project、オワスプ)は、Webアプリケーションのセキュリティ向上のためにドキュメントやツールを無償で提供している非営利団体です。
OWSPでは多くのプロジェクトがあり、様々な有益なドキュメントやツールがあります。
その中で以下のドキュメントやツールが有名です。

  • OWASP ZAP : Webアプリケーション脆弱性診断ツール
  • OWASP Top 10 : 組織が直面している最も重大なリスクのトップ10
  • OWASP Development Guide : Webアプリケーション開発のガイドライン
  • OWASP Cheat Sheet : Webアプリケーションへの攻撃方法例のドキュメント
  • OWASP BWA : 意図的に脆弱性が存在するWebサーバが構築されている仮想マシン

OWASP ZAPとは

OWASP ZAPとは、無償で提供されているWebアプリケーションの脆弱性診断ツールです。
OWASP ZAPのZAP(ザップ)は、Zed Attack Proxyの略です。
手動診断」と「自動診断」のどちらもすることができ、それぞれ以下の機能があります。

【手動診断】
手動診断とは、利用者自身が手を動かして脆弱性可否を判断します。
OWASP ZAPはプロキシサーバの機能を持っていますので、クライアントのプロキシサーバの設定をOWASP ZAPにすることで、指定することでWebページへの送受信の内容を確認できます。
また、送信データを変更して、再送する機能がありますので、パラメータを変更して再度Webページにデータを送ることができます。

【自動診断】
自動診断とは、ツールが一定のパターンの通信を自動で送ることで脆弱性可否を判断します。
OWASP ZAPでは以下のように様々な脆弱性を自動で検出できます。

  • CRLFインジェクション
  • Server Side Code Injection
  • SSIインジェクション
  • バッファオーバーフロー
  • パラメータ改ざん
  • OSコマンドインジェクション
  • 書式文字列エラー
  • ディレクトリトラバーサル
  • リモートファイルインクルージョン

OWASP ZAPをWindows 10にインストール(JAVAのインストール)

OWASP ZAPをインストールするためには、JAVAをインストールする必要があります。
そのため、JAVAをインストールする手順を記載します。

(1) ブラウザを起動して、JAVAのダウンロードサイト(https://www.oracle.com/java/technologies/javase-jdk16-downloads.html)にアクセスします。

(2) 「jdk-16.0.2_windows-x64_bin.exe」をクリックして、インストーラをダウンロードします。
OWASP ZAPのインストール(1)

(3) ダウンロードしたファイルがウイルスでないことを確認するために、以下のVIRUSTOTALのサイトにアクセスします。その後、「FILE」タブをクリックして、「Choose file」をクリックします。
   [VIRUSTOTALのサイト]
     https://www.virustotal.com/gui/
VMware Workstation Playerのインストール(3)


(4) 今回は悪いファイルと判断された件数が1件との結果でした。
SecureAge APEXの製品で悪意のあるファイルと判断されましたが、JAVAのインストーラはOracleの公式サイトからダウンロードしたため、誤検知の可能性が高いと思われます。
OWASP ZAPのインストール(2)


(5) ダウンロードしたインストーラ(jdk-16.0.2_windows-x64_bin.exe)を実行します。

(6) 「次へ」をクリックします。
OWASP ZAPのインストール(3)

(7) インストールディレクトリはデフォルト値のまま「次へ」をクリックします。
OWASP ZAPのインストール(4)

(8) インストールが正常に完了され旨のメッセージが表示されるため、「閉じる」をクリックします。
OWASP ZAPのインストール(5)

OWASP ZAPをWindows 10にインストール(OWASP ZAPのインストール)

(1) ブラウザを起動して、OWASP ZAPのダウンロードサイト(https://www.zaproxy.org/download/)にアクセスします。

(2) 「Windows (64) Installer」の「DownLoad」をクリックして、インストーラをダウンロードします。
OWASP ZAPのインストール(6)

(3) ダウンロードしたファイルがウイルスでないことを確認するために、以下のVIRUSTOTALのサイトにアクセスします。その後、「FILE」タブをクリックして、「Choose file」をクリックします。
   [VIRUSTOTALのサイト]
     https://www.virustotal.com/gui/
VMware Workstation Playerのインストール(3)


(4) 悪いファイルと判断された件数が0件であることを確認します。
OWASP ZAPのインストール(7)

(5) ダウンロードしたインストーラ(ZAP_2_10_0_windows.exe)を実行します。

(6) 「次へ」をクリックします。
OWASP ZAPのインストール(8)

(7) 利用規約に同意する必要があるため、「確認する」にチェックを付けて、「次へ」をクリックします。
OWASP ZAPのインストール(9)

(8) 「標準インストール」にチェックを付けて、「次へ」をクリックします。
OWASP ZAPのインストール(10)

(9) 「インストール」をクリックします。
OWASP ZAPのインストール(11)

(10) 「終了」をクリックします。
OWASP ZAPのインストール(12)

OWASP ZAPによるWebアプリケーション自動診断

(1) デスクトップに「OWASP ZAP 2.10.0」のアイコンが表示されているため、ダブルクリックしてOWASP ZAPを起動します。
OWASP ZAPのインストール(13)

(2) 「現在のタイムスタンプでファイル名を付けてセッションを保存」にチェックを付けて、「開始」をクリックします。
OWASP ZAPのインストール(14)

(3) 今回は自動診断するため、「Automated Scan」をクリックします。
OWASP ZAPのインストール(15)

(4) 「URL to attack」に診断するWebサイトのURLを入力して、「攻撃」をクリックします。
OWASP ZAPのインストール(16)

(5) 「アラート」タブをクリックすると、診断結果を確認できます。
OWASP ZAPのインストール(17)

おすすめ書籍

Webアプリケーション診断について、より詳細に知りたい場合は、以下の書籍で勉強することをおすすめします。