まず、インストール
Windowsのexeファイルは、それをダブルクリックしてダウンロードされます!
Linuxgは.SHが、これはもっと単純である、tar.gz形式ではありませんダウンロード。
唯一の注意点は以下のとおりです。
Windows とLinuxのバージョンが実行する必要があるのJava 8 以降JDK 、MacOSのインストーラが含まれたJava 8は、
第二に、使用
1、ZAPの初期使用
予約方法:
あなたが最初のZAPを開くと、あなたはZAPプロセスを維持したい場合は、次のダイアログボックスが求めて表示されます。
次のテスト結果や他のサイト、あなたの操作が保持させることができ、プロセスを保存して、単に歴史の流れを開く前にスキャンに撮影することができます。
一般的には、定期的に一定の製品をスキャン行われた場合、それは長期的なプロセスとして保存する必要があり、最初または2番目のオプションを選択することができます。
あなただけの、簡単ZAP機能を試してみたい場合は、その後、現在のプロセスを保存するつもりはない、第三の選択肢を選択することができます。
プロキシ設定:
オープンZAPの後、次のインターフェイスを参照してください。
彼は侵入テストの使用を開始する前に、前に述べたように、我々は最初に彼のブラウザのプロキシを設定する必要があります。
以下に示すように、8080:ZAPデフォルトのアドレスとポートを標準localhostのとおりです。
ポートが利用可能であるならば、我々は一例としてのFirefoxにブラウザエージェントを変更する必要があります。
設定 - 一般 - 接続設定、手動でプロキシおよびHTTPプロキシを選択するにはZAPと一致するように設定されています。
私たちはときに、この設定を完了した後に、サイトはZAPの仲介を通じてだろうにアクセスするには、ブラウザを再使用するので、これはZAPは、パケットキャプチャ、分析、侵入テストの可能性を提供しています。
クイックテスト:
迅速検査ウィンドウのZAP右上の領域は、侵入テストをだます非常に開くことができます。
URLを入力し、そう簡単に、取得するには、「アタック」をクリックします。
速い攻撃の過程では、ZAPは、以下のことを実行します。
クローラは、テストサイトのすべてのページをクロール使用
ページのプロセス内のすべてのページが利用できるパッシブスキャンでクロール
ページ解析、機能やパラメータのアクティブスキャンモードクロールが完了しています
結果の分析:
上記の簡単なテストが完了するのを待っている、私たちは、ZAP分析によって提供されるテスト結果を得ることができます。
迅速なテストは、ZAPは、以下の製品の一部が得られます。
テストサイトマップとページのリソース
フィードバックを記録するすべての要求、
セキュリティリスク項目リスト
私たちは、最も懸念している、もちろん、ZAPは以下を識別するために行われます、セキュリティ上のリスク項目であります:
上から下に向かっている:高、中、低、情報、によって
下のウィンドウには、アラート・インターフェースへのスイッチは、すべてのセキュリティリスクをスキャン見ることができます:
項目はすべてのリスクを拡張することができ、ZAPは、右側のウィンドウ内の項目のリスクの例示及び説明を提供し、リスク応答項目の右上部分に特に原点を示すこと(フィードバック分析に由来する)の領域を強調しました。
あなただけで安全性試験の要件、または単に安全知識のテストを学習する場合は、分析し、ZAPはある程度は既に要件を満たして与えられたまで、このステップに主要なリスクについて報告します。
メインメニューから[レポート]オプションは、出力HTML、XMLおよびその他の形式の安全テストレポートを選択することができます。
積極的にWebサイトをクロール
ブラウザのプロキシとしてZAPの使用を導入する前に、任意のサイトにアクセスするには、ブラウザを使用する場合に設定されたプロキシは、ZAPされていますが、それはのように、コンテキストZAPのレコードに記録されているサイトを離れます。
テストするサイトを右クリックし、Attack->スパイダー、ポップアップオプション]ウィンドウを選択し、スキャンの開始をクリックし、それが手動でサイトをクロールを開始します。
アクティブスキャン
そして、同様の操作部、>アクティブスキャンは、あなたがアクティブスキャンをトリガすることができ、標的部位を右クリックしAttack-選択します。
スキャンが完了すると、同じアラート・インタフェースに切り替えることができ、セキュリティ上のリスク項目、または出力テストレポートを表示します。
ZAPにはじめは初期の安全性試験のニーズにも対応できるようになる、より多くのヒントを学び、ここで紹介します。
2.アップデート
ザップザッププラグイン公式OWASPが随時とザップのバージョンに更新されるように、以下のように、我々は手動で更新することができます:
あなたは、単一を更新したい場合は、行うことができます:[更新]場合は言葉の背後にある男が現れ、選択した更新する[更新]を選択することができます!
Marketplaceでは、プラグインの市場で選択プラグインをインストールしています。これは、プラグインの3つのカテゴリに分類されています。
- リリース:限り、実績のある、より成熟したプラグイン
- ベータ:試験はプラグインでテストされている問題となり得ます
- アルファ:プラグインのベータテストバージョンよりも低いです
、リリースおよびベータ版がインストールされているオプションのインストールのアルファ版をお勧めします
3、ローカルのプロキシ設定
HTTPプロキシ(また、他のブラウザでもよい)、デフォルトのポート8080のオープンHTTPプロキシを攻撃するOWASPにFirefoxブラウザの設定。
あなたはOWASP ZAPプロキシのデフォルトを変更したい場合は、プロキシの設定OWASP ZAPは、[ツール]で見つけることができます - [修正]ローカルエージェントで - [オプション]:
4、簡単な暴行
そして、私たちは自由にFirefoxブラウザ上で任意のサイトを参照してください可能性があり、あなたが攻撃を達成するために、傍受したWebサイトにアクセスすることができます。
の段階を攻撃する必要があります。
まず第一に:手動でクロールした後に、サイト、サイトを選択は、ウェブサイトを訪問したディレクトリ義務、強制ブラウズディレクトリ(と子供を)閲覧ZAP owsap余儀なくされました。
OWASP ZAPは、OWASP(あなたも辞書をカスタマイズすることができます)クロールしようとする独自のディレクトリリスト-1.0.txtカタログ辞書をザップ使用することを選択したディレクトリの参照を余儀なくされました。
上記の目的は、サイトのすべてのリンクページをクロールすることです!
第二:上記の作業が完了したら、サイトがアクティブスキャン(アクティブスキャン)も選択することができます
情報収集、顧客やサプライヤ、サーバーのセキュリティ、移植の次のような上記のいくつかのアクティブスキャンの設定があります。あなたはどこへ行くの基盤を設定している場合は、友人は単にデフォルトを使用することができる非常に理解ではありません!
最後に:主に、スキャン結果を表示スキャンの結果のためのアクティブスキャン[警告]メニューバー主に、高リスクおよび中等度リスクの脆弱性を参照してください抜け穴を参照して、URLを攻撃するために、対応する現実の問題があるかどうかを確認するために、各項目を表示しますサーバから返された攻撃の結果の後に、そのステートメント。
あなたは、脆弱性の真の有効性を確認したい場合は、脆弱性のポイントは、あなたは、適切なセキュリティツールを作成することを選択した後、さらにテストすることができます!
図5に示すように、セッションの結果が格納される永続
[ファイル] - []セッションを持続し、次回のための「スキャンの結果の分析」の保存主な機能は、分析を続けて!
6、スキャンモード
4つのスキャンモードがあります:セキュアモード、プロテクトモード、標準モード、攻撃モードは、
OWASP ZAPのデフォルトは標準モードを使用するには、の[編集]することができます - [ZAPモード]、したいモードを選択します。
7、スキャンポリシー
[]スキャン戦略、(2)[設定]ボタン - あなたはスキャン戦略(1)[解析]を追加することができる2つの場所があります。
スキャンポリシーは、あなたに自分自身を自由に設定することができます!あなたは、デフォルトではそれを理解していない場合は!
- ポリシー:ポリシー名をスキャンし、ユーザが入力する必要があります
- デフォルトの警告のしきい値:アラームしきい値、ザップスキャンはいくつかの脆弱性を破ったOWASP高いしきい値は、高い、少ない中、低があり、高いしきい値がOWASPそれだけ高い脆弱性の確認を破った攻撃します。
- デフォルトの攻撃力:攻撃力、低、中,,高非常識、強度が高いほど、より高速なスキャン
- 発効をクリックし、すべてのプラグインをスキャンする値XXアラームバルブ:すべてのxxのしきい値を適用します。
- 発効をクリックし、すべてのプラグインをスキャンするスキャンアプリケーションのXX強度:すべてのxxの強さを適用します
8、スキャンするときにプラグインスキャナをスキップ
[モニタ]スキャンでは、青色のボタンの横をクリックして、あなたはプラグの検出をスキップすることができます!
9、CSRFトークンセット
CSRFトークンを防ぐために、いくつかのサイトがありますが、私たちは通常のトークンのサイトには、OWASP ZAPを知らせるZAP反CSRFトークン機能OWASPによってサイトのトークン名を追加するためにリダイレクトされます提供することはできません。
加えて、[アンチCSRFトークン] - [設定]。
10.プロキシを設定した後、HTTPSサイトの証明書には問題が信頼されていません
自分のブラウザの証明書を使用し、SSL接続を確立し、原因OWASP ZAP証明書が信頼されていないので、手動でザップ輸出証明書(証明書CER形式)OWASPする必要OWASPザップ、ザッププロキシ、ブラウザアクセスHTTPSサイトをOWASPすると、あなたは、あなたのブラウザにインポートすることができます!
[設定] ZAP証明書OWASPをエクスポートする方法 - [ダイナミックSSL証明書];
11、コンテキスト/スコープサイトフィルタ
この機能は、すぐに彼らが懸念しているサイトを見つけることができます。
セッションのプロパティ
ザップスキャンサイトOWASPすべてのセッションの結果は、セッションのプロパティに格納され、デフォルトでは、ブラウザを介してアカウントのパスワードを入力し、手動でセッションを記録することです。
12、httpセッション
OWASP ZAPは、他のカスタムWebサイトがある場合は、あなたが来て、自分自身を追加する必要があり、セッション名を次のデフォルトのフィールド名を持っています。
HTTPセッションは、の値を確認します。
13、コーデックツール
[ツール] - [コーデック]ハッシュ
14、クロールユーザエージェントの設定
[設定] - [接続]
15、fuzzerファジング(脆弱性評価ツール)
右の即時の必要性のfuzzerはhttpパッケージを選択fuzzerの、目標値fuzzerを選択し、ペイロードを追加します。
ここでは例えば、SQLインジェクションにfuzzer、パラメータ値を選択するために、fuzzerの種類を選択し、[追加]をクリックします。
の表示テスト結果のfuzzer。
16、プロキシ・カットオフ
OWASP ZAPのデフォルトのプロキシ8080、デフォルトでオフカット、あなたは、ステージを開始するためにクリックする必要があります。