OWASP ZAP のATTACK modeをつかってみた

募金担当の高橋です。OWASP ZAP 2.4で導入されたATTACK modeというモードを試してみました。OWASP ZAPの紹介はこちらです。

tech.sanwasystem.com

ATTACK modeとは

ATTACK modeとは、アクセスしたページに対して、OWASP ZAPが順次に脆弱性のチェックを行うモードです。他のモードでは一度スパイダー機能でURLを収集し、そのページに対して再度、OWASP ZAPで脆弱性のチェックを行うと手順を踏む必要がありました。この機能を起動しておけばアクセスするだけで、OWASP ZAPが自動でチェックを行ってくれます。

ATTACK modeを利用する手順

  1. OWASP ZAPを起動します
  2. ブラウザでアクセスした際に、OWASP ZAP経由でアクセスされるように設定します(設定方法は紹介ページを参照してください)
  3. スキャンポリシーの設定をします
    メニューの「ポリシー」からスキャンポリシー*1を設定します。ATTACK modeを利用する際にはスキャンポリシーでは開発に特化した脆弱性(XSSSQL インジェクションなど)のチェックだけにすることをおすすめします f:id:takahashih1234:20150823214705p:plain
  4. 並列スキャンスレッド数の確認
    並列にチェックするスレッドが多いと、開発環境が重くなってしまうので、確認を行います。メニューの「ツール」⇒「オプション」から以下の画面を開き、確認することができます。 f:id:takahashih1234:20150823191944p:plain
  5. 攻撃する対象のサイトを表示します
  6. 攻撃対象のサイトを下記のようにcontextに追加します f:id:takahashih1234:20150823014934j:plain
  7. モードをATTACK modeに変更します f:id:takahashih1234:20150823150723p:plain
  8. ブラウザで脆弱性をチェックしたいページにアクセスをします
  9. アクセスをしたページに対して、OWASP ZAPがスキャンポリシーに従って脆弱性チェックを行います
    下記の赤い部分が自動的に増えていきます f:id:takahashih1234:20150823190210p:plain

まとめ

ATTACK modeを利用すると、開発中に自動チェックで脆弱性を発見することができます。システムテストや受け入れテストというフェーズで見つかる脆弱性は少なくなると思います。

*1:チェックする脆弱性組み合わせの設定。XSSSQLインジェクション、コマンドインジェクションなどの種別と強度を組み合わせて作成する。