OWASP ZAP―Basic認証突破など、使い方をUP

Webアプリケーションの脆弱性診断ツールのOWASP ZAPについての情報を掲載しています。Basic認証突破など使い方をまとめています。

▲記事トップへ

目次

記事の目次です。

1. OWASP ZAPとは？

2. OWASP ZAPの使い方（ガイダンス編）

　2.0. OWASP ZAPのダウンロードとインストール
　2.1. OWASP ZAPの診断項目
　2.2. 動的スキャンと静的スキャン機能

3. OWASP ZAPの使い方（気になる操作編）

　3.1. BASIC認証を突破する方法
　3.2. SOCKSを使用して踏み台サーバ経由でZAPからのクエリを送信する方法

4. OWASP ZAPのソース取得

更新履歴

1. OWASP ZAPとは？

OWASPが提供している、Webサイトの脆弱性を診断するためのぺネトレーションテストツールです。 オープンソースで、無料で使用できます。

• OWASPとは？

  OWASPは、ウェブアプリケーションセキュリティをとりまく課題を解決することを目的とする、国際的なオープンなコミュニティです。 The Open Web Application Security Projectの略です。

2. OWASP ZAPの使い方（ガイダンス編）

OWASP ZAPの使い方を見ていきます。ガイダンス編として、ダウンロードおよびインストール中心にまとめていきます。

2.0. OWASP ZAPのダウンロードとインストール

OWASP ZAPは、「https://github.com/zaproxy/zaproxy/wiki/Downloads」よりダウンロードできます。

OWASP ZAPの実行条件ですが、Javaの実行環境が必要です。コンパイルなど開発環境は不要なのでJDKではなく、JREをインストールしておけば動きます。 JDKにJREも含まれているのでどちらでも大丈夫です。

インストールは、JREもZAPもインストーラの誘導にしたがってインストールすればOKです。

2.1. OWASP ZAPの診断項目

OWASP ZAP 2.4.3の場合のデフォルトのスキャン項目は以下です。

• パス　トラバーサル　（別名：ディレクトリトラバーサルあるいはパストラバーサル）
• リモート　ファイル　インクルージョン
• Server Side Include（SSI）
• クロスサイト・スクリプティング（反射型）
• クロスサイト・スクリプティング（持続型）
• SQLインジェクション
• Server Side Code Injection
• リモート　OSコマンドインジェクション
• ディレクトリブラウジング
• 外部リダイレクト
• バッファ　オーバーフロー
• Format String Error
• CRLFインジェクション
• パラメータ改ざん
• クロスサイト・スクリプティング（持続型）- Prime
• クロスサイト・スクリプティング（持続型）- スパイダー
• Script Active Scan Rules

2.2. 動的スキャンと静的スキャン機能

OWASP ZAPには自動診断機能として、「動的スキャン」と「静的スキャン」の機能があります。

• 動的スキャン

  GETやPOST、リクエストヘッダーなどのパラメータの値を変更して脆弱性検査を行います。 インジェクション系の脆弱性もできます。

• 静的スキャン

  リクエストとHTTPのレスポンスの内容だけから脆弱性を判定する機能です。 インジェクション系の脆弱性は検出できません。

3. OWASP ZAPの使い方（気になる操作編）

OWASP ZAPの使い方を更に見ていきます。今度は気になる操作をまとめていきます。

3.1. BASIC認証を突破する方法

OWASP ZAPでBASIC認証を突破する方法です。

Stand AloneのScriptを追加する。

• Script 名：任意の名前を付ける
• タイプ：Stand Alone
• Script engine：ECMAScript : Oracle Nashorn
• テンプレート：なし

ブラウザで一度認証をすますとAuthorizationがヘッダに付与されるので、 HTTP通信をキャプチャして、「XXXXXX」を調べて以下のコードを設定する。

org.parosproxy.paros.network.HttpSender.addListener(
   new org.zaproxy.zap.network.HttpSenderListener {
     getListenerOrder: function() {
       return 1;
     },

     onHttpRequestSend: function(msg, initiator) {
       msg.getRequestHeader().setHeader(
         "Authorization", "Basic XXXXXX");
     },

     onHttpResponseReceive: function(msg, initiator) {
     }
});

3.2. SOCKSを使用して踏み台サーバ経由でZAPからのクエリを送信する方法

ZAPはJavaで出来ているので一般的なJavaのVMオプションが使えます。 起動スクリプト（＜インストールディレクトリ＞\zap.bat）のjvmoptsに以下を追加することでSOCKS接続できます。

-DsocksProxyHost=＜SOCKS接続サーバ＞ -DsocksProxyPort=＜SOCKSのポート＞

4. OWASP ZAPのソース取得

ZAPは、オープンソースなのでコードを取得してデバックや不具合の修正が行えます。 ソースは、以下に置いてあります。

https://zaproxy.googlecode.com/svn

更新履歴

加筆修正を行ってブラッシュアップしていきます。以下は更新履歴になります。

• 2016年10月26日　インストール方法およびSOCKS接続について追記しました。
• 2016年10月25日　「動的スキャン」と「静的スキャン」の機能について追記しました。
• 2015年12月08日　OWASP ZAP―Webアプリケーションの脆弱性診断ツールをUP！

戻る