facebook twitter hatena line email

「セキュリティ/OWASPZAP」の版間の差分

提供: 初心者エンジニアの簡易メモ
移動: 案内検索
(ページの作成:「 ==OWASP ZAPとは== 脆弱性診断ツールでParosを元にしている 公式:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project ===OWASP ZAPのダウ...」)
 
(=OWASP ZAPのダウンロード)
行5: 行5:
 
公式:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
 
公式:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
  
===OWASP ZAPのダウンロード==
+
==OWASP ZAPのダウンロード==
 
https://github.com/zaproxy/zaproxy/wiki/Downloads
 
https://github.com/zaproxy/zaproxy/wiki/Downloads
 
  
 
==注意==
 
==注意==

2018年3月29日 (木) 14:58時点における版

OWASP ZAPとは

脆弱性診断ツールでParosを元にしている

公式:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

OWASP ZAPのダウンロード

https://github.com/zaproxy/zaproxy/wiki/Downloads

注意

自サイト以外には絶対に脆弱性診断しないように 仮に、診断をした場合は、攻撃とみなされ、損害賠償をされる恐れもあります。

プロテクトをする

  1. 誤って攻撃するおそれがあるので、最初の段階で
  2. 左上のプロテクトボタンを押しておく

ネットワークポート変更

preference/オプション/LocalProxiesでポートを変更 18080

ブラウザ側のポートの変更

firefox/環境/ネットワークプロキシ 18080

対象ページの登録

  1. ポート変更したブラウザでアクセスすると
  2. owaspクライアントの左側のサイトに登録される

脆弱性診断準備

  1. サイトを右クリックし、NewContextを選択し、サイトをコンテキストに登録する
  2. 登録したサイトのアイコンが赤くなるのを確認する

脆弱性診断準備

  1. 間違い防止のためサイトに対象サイト以外があるときは削除しておく
  2. 対象サイトを右クリックし、攻撃/動的スキャンを選択

レポート生成

レポート/レポート生成でhtml出力される

参考

https://qiita.com/sangi/items/ba7e3d39237045c9be36