OWASP ZAPの導入方法

必要なアプリケーションの導入

必要なツールは以下の通りです。

Java

OWASP ZAPを実行するにはJavaのバージョン8以降が必要です。まずJavaがインストールされているか、どのバージョンかを確認します。コマンドプロンプトから「java -version」というコマンドを実行します。「64-Bit」と表示されていればインストールされています。
64ビットWindowsなのに32ビット版がインストールされている場合や上記のコマンドがエラーになる場合は以下のURLから「Windowsオフライン」をダウンロードし、インストールしてください。

https://java.com/ja/download/manual.jsp

OWASP ZAP

次のリンクにアクセスします。

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Download OWASP ZAPに移動します。対象OSのインストーラーをダウンロードします。
インストーラーを起動します。基本的に全て「次へ」で進めて大丈夫です。
「ライセンス契約」ダイアログでは「承認する」を選択して「次へ」をクリックします。
インストール形式は「標準インストール」を選択します。
以上でOWASP ZAPのインストールは完了です。

Firefox

https://www.mozilla.org/ja/firefox/new/

脆弱性診断を実施する場合、ウェブサイトの閲覧にブラウザの制約がなければ、Mozilla Firefoxを使用することをお勧めします。以下はお勧めの理由です。

  • プロキシ設定がOSから独立している
  • 暗号化通信用のSSL/TLS証明書の設定がOSから独立している
  • クロスサイト・スクリプティング脆弱性をブラウザ上で検証しやすい

OWASP ZAPとFirefoxの連携

FirefoxがOWASP ZAP経由でウェブサイトにアクセスできるように設定します。

OWASP ZAPの設定

ブラウザと連携させるためには、OWASP ZAPのホスト(IPアドレス)とポートの設定が必須です。
OWASP ZAPを起動すると次のダイアログが表示されます。ここでは「現在のタイムスタンプでファイル名をつけてセッション保存」を選択して「開始」をクリックしてください。
この設定は毎回ログを日時のファイル名で保存するものになります。
起動したら、「ツール」メニューから「オプション」をクリックし、ダイアログの左側のリスト内の「ローカル・プロキシ」を選択します。
一番上の「Address」欄に「127.0.0.1」を手入力するか、プルダウンリストで選択します。
「ポート」欄にはOS上で使われていない、任意のポートを指定します。
ポートの例には「8080」とありますが、既に使用されている確率が高いです。OWASP ZAPでは使用しないことを強く推奨します。推奨するポートの範囲は49152~61000です。今回は「58888」とします。

Firefoxの設定

Firefoxを起動し、画面右上「三」アイコンをクリックして「オプション」をクリックします。
左側のメニューで「一般」を選択し、右側のペインを一番下までスクロールさせます。「ネットワーク設定」の「接続設定…」をクリックします。
インターネット接続」の画面が表示されます。以下の設定をします。

  • 「インターネット接続に使用するプロキシの設定」で「手動プロキシを設定する」を選択します。
  • 「HTTPプロキシー」にOWASP ZAPに設定したのと同じホスト名またはIPアドレスを入力します。「127.0.0.1」としてください
  • 「ポート」にOWASP ZAPに設定したのと同じポートを入力します。例と同じ設定にしている場合は「58888」としてください
  • 「プロキシーなしで接続」に入力されている文字列はすべて削除してください。 設定や入力が完了したら「OK」をクリックしてオプションを閉じます。

暗号化通信用設定

メニューの「ツール」→「オプション」から「ダイナミックSSL証明書」を選択します。
「保存」をクリックして「owasp_zap_root_ca.cer」を任意の場所に保存します。正常に保存されたらOWASP ZAP側の作業は終了です。

保存したOWASP ZAPの証明書をFirefoxにインポートします。Firefoxを起動し、画面右上「三」アイコンをクリックして「オプション」をクリックします。
左側のメニューで「プライバシーとセキュリティ」を選択し、右側のペインを一番下までスクロールさせて「証明書」の「証明書を表示…」をクリックします。
証明書マネージャーが表示されたら、「認証局証明書」タブを選択して「インポート…」をクリックします。
保存したOWASP ZAPのダイナミックSSL証明書を選択して「開く」をクリックします。
「証明書のインポート」ダイアログが表示されるので、「この認証によるウェブサイトの識別を信頼する」にチェックを入れて「OK」をクリックします。
以上で設定は完了です。

まとめ

OWASP ZAPの導入方法メモです。
これで、OWASP ZAPを利用できるところまで設定できます。