ZAP を使用して Web サイトで侵入テストを実行するプロセスは次のとおりです。
ZAP がブラウザを起動します
URL を入力し、クリックしてブラウザを起動し、開いているブラウザでスキャンする Web サイトにログインします。
開いているブラウザ上でテストが必要なプロセス操作を実行します。
ZAP は動作中に HTTP リクエストをログに記録します。
spider爬虫
[Spider Start] ボタンをクリックして静的アドレスをクロールし、漏れを防ぎます。
ZAP の Spider 機能を使用してスキャンする場合、デフォルトでは現在のページがスキャンされ、Web サイト全体が自動的にプローブされ、ページの包括的なリストが作成されます。ZAP は、このページ リストをより包括的なセキュリティ スキャンに使用します。したがって、ZAP のスパイダー スキャンは、現在のページだけでなく、Web サイト全体のすべてのページをカバーします。これは、Web サイト全体の潜在的な脆弱性を発見するのに役立ちます。
ZAP インターフェイスでスパイダーを直接選択して、新しいスキャンを作成することもできます。
アヤックス スパイダー
「Ajax Spider Start」ボタンをクリックして、欠落を防ぐために Ajax アドレスをクロールします。
アクティブスキャン
方法 1:
[アクティブ スキャンの開始] をクリックして、デフォルト設定を使用して、最初の 3 つの手順で記録されたアドレスのスキャンを開始します (ページ操作ではスキャンが開始されない場合があります。方法 2 または 3 を使用できます)。
方法 2:
ZAP インターフェイスで、攻撃する必要がある Web サイトを右クリックし、[攻撃] -> [アクティブ スキャン] を選択します。
方法 3:
アクティブなスキャンを選択し、新しいスキャンを作成します
アクティブなスキャンは遅くなります。クリックするとスキャンの進行状況を確認できます。
これらのルールに基づいて、ZAP はページ操作中に記録された HTTP リクエストを攻撃し、対応する問題が存在するかどうかを確認します。
アラートを表示
テストレポートのエクスポート
[レポート] -> [レポートの生成] で、以下のサイトを選択し、[レポートの生成] をクリックします。