Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年4月6日
最終更新日:2013年8月17日

OWASP ZAP ~ フリーの Web アプリケーション脆弱性診断ツール

OWASP ZAP(Zed Attack Proxy) は、フリーで使用出来る Webアプリケーション脆弱性診断ツールです。しかも、メニューが日本語対応されています。

pic01

 

診断可能な代表的な脆弱性には以下のものがあります。

  • クロスサイト・スクリプティング
  • SQL インジェクション
  • クロスサイト・リクエスト・フォージェリ(CSRF)

他にも多くの脆弱性に対応していますが、詳細は以下の記事をご参照ください。

試しに、Webアプリケーションの脆弱性をわざと作りこんである Badstore.net を診断してみます。Badstore.net の使い方については以下の記事をご参照ください。

OWASP ZAP の使い方は簡単で、以下の「URL to attack」に診断対象の URL を入力して、「攻撃」ボタンをクリックするだけです。

pic02

診断結果は以下のようになりました。クロスサイト・スクリプティングとSQLインジェクションの脆弱性などを検知していますね。

pic03

また、レポートは HTML 形式(英語)で出力できますので、情報の共有も容易です。

pic04

なお、今回は自動スキャンを利用しましたが、OWASP ZAP をプロキシにして Web アプリケーションを操作して記録すると、記録した内容に対してスキャンができます。そのため、ログイン機能がある Webアプリケーションでも利用することが可能です。また、SSL で暗号化された通信もスキャン可能です。

OWASP ZAP は簡単に Webアプリケーション脆弱性診断を行うことができますので、商用のWebアプリケーション脆弱性診断ツールが使えない場合に是非ご活用ください。但し、OWASP ZAP による診断結果は目安程度に考えて、脆弱性が検出されなかったから問題ないとまでは考えない方がいいと思います。

お約束ですが、OWASP ZAP は自分の管理下にある Webサーバーに対してのみ行うようにしてください。第三者の Webサーバーに対して実行すると捕まる可能性もありますので、ご注意ください。


スポンサーリンク




カテゴリー:ツール

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA