前回、Metasploit のインストール方法について記載した。
Metasploit は非常に強力なペネトレーションテストツールであるが、
主にサーバー向けとなっている。
Web アプリ自体に対する脆弱性検査としては、
OWASP ZAP などのプロキシ機能を持つツールが適している。
よってここでは、
について記載する。
なお、OWASP ZAP も Web アプリ検査として非常に強力なツールであるが、
当然使い方によっては攻撃にも利用されうる。
このため、自分の責任範囲外のサイトなどに適用した場合、
ハッキング行為とみなされる恐れがある。
よって、利用する際には、これまで記載してきた環境のように、
自分のネットワーク内にある、
自分のサイトや機器の脆弱性検査に限って
利用すべきであることにご注意頂きたい。
■OWASP ZAP のインストール
まずはこちらのサイトより、インストーラーをダウンロードしてくる。
https://github.com/zaproxy/zaproxy/wiki/Downloads
今回は以下の画面にある、Linux のインストーラーをダウンロードした。
時間は 1 時間位掛かるので、気長に待つ。
*気長に待つの、多いなぁ・・・。
ダウンロードが完了したら、まずは実行可能な状態にする。
root@raspi-03# chmod +x ZAP_2_6_0_unix.sh
その後、実行。
root@raspi-03# ./ZAP_2_6_0_unix.sh
すると、以下のようなダイアログが出てくる。
■OWASP ZAP の起動
インストール完了後、OWASP ZAP を起動するには、二種類の方法がある。
一つはデスクトップのアイコンをクリックして起動する方法。
ただし、デフォルトではアイコンの起動先が、
/opt/zaproxy/ZAP.exe
となっているため、これを修正する。
まず、アイコンを右クリックし、プロパティを選択。
出てきたダイアログの中にある、『デスクトップエントリ』をクリック。
以下の通り、コマンド部分の記載を、/opt/zaproxy/zap.sh に変更し、OK を押す。
これでアイコンから起動できるようになる。
もう一つの方法は、コマンドラインから起動する方法。
これは以下の通り入力することで起動可能。
root@raspi-03# /opt/zaproxy/zap.sh
起動すると、まず初めにこういった画面がでる。
任意の保存状態を選択し、起動する。
こんな画面になる。
これで起動は完了。
■まとめ
前回の metasploit に引き続き、
今回は Web アプリケーションの脆弱性検査ツールである、
OWASP ZAP
のインストール方法について記載した。
インストール自体は、少々時間が掛かるものの、
ラズパイに対しても簡単に実行可能。
こちらも、私自身、まだ表面をサラッと触れた程度のレベル。
ある程度使い方に習熟し、面白い使い方ができるようになれば、
追って記載していきたい。
【2018/10/21 追記】
OWASP ZAP は Linux、Windows の
いずれでも動作する(Macは試してないので不明)。
これもあって、OWASP ZAP の基本的な使い方に関しては、
の
『Web アプリ診断(OWASP ZAP の基本的な使い方)』
に記載したので、よければこちらも参考にしていただければ。
Copyright (c) 2017 Webmaster of this site All Rights Reserved.