ある方から質問を受けたのもあり、 OWASP ZAPの基本的な使い方(手動診断編) の続編として、「環境構築からテストサイトを構築して動的スキャンでXSSなどを検出するまで」の手順を解説してみます。 OWASP ZAP初心者が基本的な動的スキャン検査を行えるようになるまでの手順、という位置づけです。 ここでは、Windows環境で、XAMPPとOWASP ZAPを一からセットアップするという形で解説します。(Win以外の環境や、XAMPP以外の環境を使いたい方は適宜ご自身の環境に合わせて読み替えてください) ■Windwows環境でXAMPPを使ったテストサイトの構築 まず注意点ですが、普通にインターネット上に公開されているサイトにOWASP ZAPの動的スキャンなどをかけたら、サイバー攻撃と見なされて最悪通報されてしまうため、OWASP ZAPで診断を行う対象は「自己の管理下にあるサイト」である必要があります。 つまり、OWASP ZAPの使い方を習得するにあたっては、ローカル環境や社内LAN上に「練習用の診断対象サイト」(いわゆるわざと脆弱性を持たせた「やられサイト」)を構築することがまず必要です。 「や
[zap2.batで起動したZAP] ・ヘルプ - アップデートのチェック - マーケットプレイスで「Release」レベルのアドオンを全てインストール(外部プロキシサーバ設定前に実行) ・ツール - オプション - ローカルプロキシの値がlocalhost:8080での待ち受けになっているので、本例では localhost:7772 に変更
[ブラウザ] プロキシサーバとして localhost:7771 を設定