OWASP ZAP で Webアプリの脆弱性診断 (2:設定～スキャンの実施)

　本記事は、Windows11にインストールしたOWASP ZAPでWebアプリケーションの脆弱性をスキャンする手順のメモとなります。

　OWASP ZAPはOWASPというWebアプリケーションに関するコミュニティが作成している、Webアプリケーションを対象とした脆弱性スキャナーです。こちらの記事でインストール手順を解説しており、今回は実際にスキャンを実施してみます。スキャン対象には、こちらの記事で構築したWordPressを利用します。

　脆弱性スキャンは自身で構築したWebアプリケーションなど、許可された対象に実施してください。第三者のWebアプリケーションに対しての実行は、不正アクセスとみなされる可能性もあるため実施しないようにしましょう。またパブリッククラウド上に構築したWebアプリケーションの場合は、脆弱性スキャンを実施する旨を事前にパブリッククラウド業者へ申請する必要がある場合がありますのでご注意ください。

◆ OWASP ZAP による設定～スキャン手順
(2023年8月時点)

　スキャンまでの手順は大まかに以下の手順となります。

Ⅰ．OWASP ZAPの設定
Ⅱ．Firefoxの設定
Ⅲ．OWASP ZAPによるスキャン

Ⅰ．OWASP ZAPの設定

Ⅰ-１．
デスクトップ上のアイコン等からOWASP ZAPを起動します。

Ⅰ-２．
起動が完了するまでしばらく待ちます。

Ⅰ-３．
起動中に以下のようなWindowsDefenderファイアウォールの警告が出た場合は、「アクセスを許可する」をクリックします。

Ⅰ-４．
起動が完了すると、セッションの保存方法を問われます。ここでは「現在のタイムスタンプでファイル名を付けてセッションを保存」を選択して「開始」ボタンをクリックします。

Ⅰ-５．
画面左上のモード選択のプルダウンで「プロテクトモード」を選択します。これを選択することで、Webアプリケーション中のリンクなどから意図せず外部のURLにまで診断を行うことを防げるようです。

Ⅰ-６．
メニューバーで「ツール」を選択し、「オプション…」をクリックします。

Ⅰ-７．
左メニューの「Network」内の「Local Server/Proxies」を選択します。アドレス欄に『localhost』と入力し、ポート欄に『8080』など、他のアプリケーションで利用していないポート番号を指定します（このポートは後の手順でFirefoxのプロキシ設定に使用します）。その後「OK」ボタンをクリックします。

Ⅱ．Firefoxの設定

Ⅱ-１．
Firefoxを開き、右上のメニューから「設定」をクリックします。

Ⅱ-２．
一般メニューのネットワーク設定にある「接続設定」ボタンをクリックします。

Ⅱ-３．
インターネット接続に使用するプロキシーの設定で「手動でプロキシーを設定する」を選択します。HTTPプロキシー欄で『localhost』と入力し、ポートはⅠ-７でOWASP ZAPに設定したポートを指定します。「このプロキシーをHTTPSでも使用する」のチェックを入れます。SOCKSホスト欄も同様に『localhost』と入力し、ポートはⅠ-７でOWASP ZAPに設定したポートを指定します。「OK」をクリックします。

Ⅲ．OWASP ZAPによるスキャン

Ⅲ-１．
画面右側中央の「Manual Explore」をクリックします。

Ⅲ-２．
URL to explore欄にスキャンしたいWebアプリケーションのURLを入力します。ここではこちらの記事でPC内に作成したWordPressを指定します。その後「ブラウザの起動」ボタンをクリックします。

Ⅲ-３．
Firefoxが起動し、スキャン対象のWebアプリケーションが開いたのちに、画像のような「Welcome to the ZAP HUD」が表示されます。

Ⅲ-４．
左側にアクセスしたWebアプリケーションの階層が表示されるので、スキャンしたいトップ階層（ここでは127.0.0.1中のwordpressから）を右クリックし、「コンテキストに含める」＞「新規コンテキスト…」を選択します。このようにしてコンテキストに含めることで、含めた階層以下に対する脆弱性スキャンが可能になります。