脆弱性検査 – OWASP ZAP(インストール編) –


前回、Metasploit のインストール方法について記載した。

Metasploit は非常に強力なペネトレーションテストツールであるが、

主にサーバー向けとなっている。

Web アプリ自体に対する脆弱性検査としては、

OWASP ZAP などのプロキシ機能を持つツールが適している。

よってここでは、

  1. OWASP ZAP のインストール
  2. OWASP ZAP の実行
  3. まとめ

について記載する。

なお、OWASP ZAP も Web アプリ検査として非常に強力なツールであるが、

当然使い方によっては攻撃にも利用されうる。

このため、自分の責任範囲外のサイトなどに適用した場合、

ハッキング行為とみなされる恐れがある。

よって、利用する際には、これまで記載してきた環境のように、

自分のネットワーク内にある、

自分のサイトや機器の脆弱性検査に限って

利用すべきであることにご注意頂きたい。



■OWASP ZAP のインストール

まずはこちらのサイトより、インストーラーをダウンロードしてくる。

https://github.com/zaproxy/zaproxy/wiki/Downloads

今回は以下の画面にある、Linux のインストーラーをダウンロードした。

時間は 1 時間位掛かるので、気長に待つ。
*気長に待つの、多いなぁ・・・。

ダウンロードが完了したら、まずは実行可能な状態にする。

root@raspi-03# chmod +x ZAP_2_6_0_unix.sh

その後、実行。

root@raspi-03# ./ZAP_2_6_0_unix.sh

すると、以下のようなダイアログが出てくる。

次へ。

承認する、を選択し、次へ。

とりあえず最初は標準インストールにしておく。次へ。

インストール、を押す。

セットアップが開始されている。ちょっとだけ待つ。

以上でインストールは完了。

インストールが完了すると、以下の通りデスクトップにアイコンが表示される。



■OWASP ZAP の起動

インストール完了後、OWASP ZAP を起動するには、二種類の方法がある。

一つはデスクトップのアイコンをクリックして起動する方法。

ただし、デフォルトではアイコンの起動先が、

/opt/zaproxy/ZAP.exe

となっているため、これを修正する。

まず、アイコンを右クリックし、プロパティを選択。

出てきたダイアログの中にある、『デスクトップエントリ』をクリック。

以下の通り、コマンド部分の記載を、/opt/zaproxy/zap.sh に変更し、OK を押す。

これでアイコンから起動できるようになる。

もう一つの方法は、コマンドラインから起動する方法。

これは以下の通り入力することで起動可能。

root@raspi-03# /opt/zaproxy/zap.sh

起動すると、まず初めにこういった画面がでる。

任意の保存状態を選択し、起動する。

こんな画面になる。

これで起動は完了。



■まとめ

前回の metasploit に引き続き、今回は Web アプリケーションの脆弱性検査ツールである OWASP ZAP のインストール方法について記載した。

インストール自体は、少々時間が掛かるものの、ラズパイに対しても簡単に実行可能。

こちらも、私自身、まだ表面をサラッと触れた程度のレベル。

ある程度使い方に習熟し、面白い使い方ができるようになれば、追って記載していきたい。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ラズパイでセキュリティ タグ: , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください