脆弱性診断ツール – KagerouLab

OWASP ZAP で Webアプリの脆弱性診断 (1:インストール)

　本記事は、Windows11にOWASP ZAPをインストールする手順のメモとなります。

　OWASP ZAPはOWASPというWebアプリケーションに関するコミュニティが作成している、Webアプリケーションを対象とした脆弱性スキャナーです。WebアプリケーションURLを指定してスキャンを行うことで、そのWebアプリケーションがもつ脆弱性を見つけることができます。
　脆弱性とは、プログラムの不具合や設計のミスによって発生した情報セキュリティ上の欠陥のことです。例えば、大まかにいうとWebアプリケーション内のテキストボックス（ログインID入力ボックスなど）にSQL（データベース操作言語）を入れることでデータを操作するSQLインジェクションなどがあります。

　実際にOWASP ZAPによってWebアプリケーションの脆弱性を診断する手順については次の記事で紹介します。

◆ OWASP ZAPインストール手順 (2023年8月時点)

　インストールは大まかに以下の手順となります。

Ⅰ．FireFoxのインストール
Ⅱ．OpenJDK (Amazon Corretto) のインストール
Ⅲ．OWASP ZAP のインストール

Ⅰ．Firefoxのインストール

　OWASP ZAPは自身をプロキシとして設定したWebブラウザからアクセスしたサイトに対して診断をかけます。EdgeやChromeのプロキシ設定はOSのプロキシ設定に利用するため、OSのプロキシ設定にOWASP ZAPを設定しなければなりませんが、Firefoxは独自にプロキシ設定を保持できるので、Firefoxのインストールをお勧めします。

Ⅰ-１．
mozillaサイトのFirefoxのページ（https://www.mozilla.org/ja/firefox/new/）にアクセスし、「Firefoxをダウンロード」をクリックします。

Ⅰ-２．
インストーラーのexeファイルがダウンロードされますので、起動します。

Ⅰ-３．
インストールが開始されるので待ちます。

Ⅰ-４．
Firefoxが立ち上がればインストールは成功です。こちらは閉じて構いません。

Ⅰ-５．
デスクトップ上にできたFirefoxのショートカットを右クリックし、「プロパティ」を選択します。

Ⅰ-６．
「ショートカット」タブにあるリンク先について、exeファイルの存在するパス（デフォルトでは ”C:¥Program Files¥Mozilla Firefox” ）をコピーします。

Ⅰ-７．
スタートメニューの検索で「sysdm.cpl」をクリックし、「管理者として実行」を選択します。

Ⅰ-８．
開いた「システムのプロパティ」ウィンドウにて「詳細設定」タブの「環境変数」ボタンをクリックします。

Ⅰ-９．
システム環境変数の「Path」を選択し、「編集」ボタンをクリックします。

Ⅰ-10．
「新規」ボタンをクリックし、追加された行にFireFoxのインストールパス
　”C:¥Program Files¥Mozilla Firefox”
を追加します。
その後「OK」ボタンをクリックします。

Ⅰ-11．
「OK」ボタンをクリックして環境変数ウィンドウを閉じます。

Ⅰ-12．
「OK」ボタンをクリックしてシステムのプロパティウィンドウを閉じます。

Ⅱ．OpenJDK (Amazon Corretto) のインストール

　OWASP ZAPを動作させるためにはJDKのインストールが必要になります。ここではAmazonが提供しているOpenJDKの「Amazon Corretto」のバージョン17をインストールします。

Ⅱ-１．
Amazon Correttoのページにアクセスし、右側の「Amazon Corretto 17 をダウンロードする」ボタンをクリックします。

Ⅱ-２．
利用OSに合わせてインストーラーをダウンロードします。今回はWindows11にインストールしますので、Windows x64版のmsiインストーラーをダウンロードします。
ダウンロードしたインストーラーをダブルクリックで起動します。

Ⅱ-３．
インストーラーが起動しますので「Next」をクリックします。

Ⅱ-４．
インストール機能、インストール先のパスはデフォルトのまま「Next」をクリックします。

Ⅱ-５．
「Install」をクリックします。

Ⅱ-６．
「Finish」をクリックします。

Ⅱ-７．
コマンドプロンプトを開き、以下のコマンドを実行します。
　　java –version

バージョン情報が出ればインストール成功です。

Ⅲ．OWASP ZAP のインストール

Ⅲ-１．
OWASP ZAPのページにアクセスし、「Download Now」ボタンをクリックします。

Ⅲ-２．
最新バージョンの Windows (64) Installer の「Download」ボタンをクリックします。
ダウンロードされたexeファイルをダブルクリックで実行します。

Ⅲ-３．
インストーラーが開始されるのでしばらく待ちます。

Ⅲ-４．
「次へ」をクリックします。

Ⅲ-５．
ライセンス契約の「承認する」を選択し、「次へ」をクリックします。

Ⅲ-６．
インストール形式で「標準インストール」を選択し、「次へ」をクリックします。

Ⅲ-７．
「インストール」をクリックします。

Ⅲ-８．
インストール完了まで待ちます。

Ⅲ-９．
「終了」をクリックします。

◆ 参考文献

・脆弱性（ぜいじゃくせい）とは？｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト (soumu.go.jp)
・【OWASP ZAP】インストールと基本的な使い方【Web脆弱性診断】 | チグサウェブ (chigusa-web.com)
・OWASP ZAPを使ったWebシステムの脆弱性診断【前編】｜Solution – ソリューション｜株式会社イージェーワークス (ejworks.com)