ZAPデスクトップアプリケーション
ZAPデスクトップアプリケーションは、次の要素で構成されています。
1.メニューバー - 自動および手動工具アクセスをご用意しております
2.ツールバー - ユーザーインターフェースの最も一般的なコンポーネントへの迅速なアクセスを提供します
3.ウィンドウのツリー - ツリーとテストサイトスクリプティングのツリーを表示
4.ワークステーションウィンドウ - 要求、フィードバック、およびスクリプトを表示し、それらを編集できるようにします
5.情報ウィンドウ - 詳細な結果を実行するためのツールを表示
6.フッター - 自動実行ステータスと警告のための主要なツールを示す概要
ZAPを使用するときは、ユーザーガイドZAPデスクトップアプリケーションを表示するには、[ヘルプ]メニューバーやプレスF1をクリックすることができます。
詳しくはZAP、オンラインヘルプドキュメントを参照してください。
重要:
あなたがアプリケーションをテストする方法を攻撃するためのイニシアチブを使用する権利を持っているときZAPにのみだけで使用することができます。
アプリケーションは、実際の攻撃として苦しむことになるので、ZAPが働き、アプリケーションとデータ機能が悪影響を受ける可能性が高いです。
あなたがテスト対象のアプリケーションのリスクをもたらすでしょうZAPを使用して心配しているならば、あなたは安全なモードに切り替えることができます(利用可能な機能ZAPが大幅に削減されます)。
セーフモードに切り替えるには、セーフモードを選択し、「モード」ドロップダウンメニューのメインメニューバーをクリックしてください。
自動スキャン操作
最も簡単な方法は、ZAPクイックスタート]メニューを使用することです。
クイックスタートを使用すると、ZAPのインストール時にデフォルトで追加された追加のコンポーネントです。
自動的に起動クイックスキャンを実行するには:
1. ZAPと高速起動ステーションウィンドウをクリックしてください。
2.オートスキャン]ボタンをクリックします。
URLフィールドに3. WebアプリケーションをスキャンするURLを入力してください。
4.「攻撃」ボタンをクリックしてください。
ZAPは、技術爬虫類クロールWebアプリケーションの利用を促進し、パッシブスキャンは、すべてのページを登ります。
ZAPは、スキャナを使用して、見つかったすべてのページ、機能やパラメータを攻撃するためのイニシアチブをとるだろう。
ZAPは、ユーザーが使用することを選択することができ、Webアプリケーションをクロールするための2つのクローラを提供します。
従来のZAPクローラは、HTMLのWebアプリケーションのフィードバックを通じてリンクがあります。
この爬虫類は高速ですが、JavaScript経由でリンクを生成するアプリケーションのためのAJAX技術の使用のために、それはとても効果的ではありません。
AJAXアプリケーションでは、ZAPのAJAXの爬虫類は、より効果的になります。このクローラは、ブラウザのプロセスにアピールすることで、Webアプリケーションを探索するだろう、と動的に生成されたリンクをたどります。
従来より遅いAJAXクローラクローラ、及び使用中のモードのインタフェースに何らさらに構成される必要としません。
ZAPはなり受動的にスキャン剤の形態で受信したすべてのリクエストやフィードバックを。
この時点まで、ZAPはまた、唯一のパッシブスキャンです。パッシブスキャンは、任意の形式で任意のフィードバック情報を変更するので、比較的安全ではありません。
このスキャンは、バックグラウンドスレッドで実行され、スキャン速度を遅くはありません。
問題のいくつかを識別するために、さらにテストの方向を決定するのを助けるために、いくつかの基本的なWebセキュリティ情報を提供するために、パッシブスキャンのヘルプ。
アクティブスキャン、それはより多くの脆弱性を発見する目的を達成するために事前に攻撃の数を渡します。
測定対象の場合は、アクティブスキャンは、実際の開始、および攻撃の損失をもたらすことがあります。
だから、積極的にあなたが権限をテストしていないターゲットをスキャンしません。
検査結果の解釈
ZAPは、Webアプリケーションをクロールするとき、彼は、アプリケーションのページ構造のビューを作成し、これらのページで使用されるリソース・ファイルをロードします。
それから彼は、各ページのリクエストやフィードバックを記録します、そして、これらの要求と可能なセキュリティ問題のフィードバックに警告を発行します。
サイトのZAPビューでは、我々はツリー構造でスキャンしたすべてのURLを表示することができます。
警告と警告情報を表示します。
左側左フッタは、リスク分類の異なるレベルでテストプロセスで見つかった警告の数を示します。
リスクのこれらの種類は次のとおりです。
テスト中に警告メッセージを表示するには:
メッセージウィンドウにおいては、警告ラベルをクリックしてください
2.ウィンドウの右側に発見されたテスト用URLおよび脆弱性情報が表示されます1つの警告をクリックします
ウィンドウ表3、及び脆弱部分が強調表示されるフィードバック部材フィードバックを要求する者の頭部。
手動スキャンアプリケーション
Webアプリケーションを起動したときにチェックするパッシブスキャンと自動攻撃機能は良い方法を脆弱性が、多くの制限があります。
例えば:
-
任意の必要なユーザ認証ページでは、ZAP、ZAPの認証機能を設定しない限り、それ以外の場合は必要な認可権限は処理されません、パッシブスキャンすることはできません。
-
実行攻撃や自動化された攻撃のパッシブスキャンタイプの場合、テスターは、多くのコントロールを持っていませんでした。実際にはZAPもスキャンと攻撃能力を各種取り揃えています。
爬虫類は、サイトを探索するために良いベースとすることができるが、唯一のために、マニュアルと併せて、より効率的に探索します。
例えば、フォームの顔で爬虫類を取り、単にデフォルトの基本情報を入力します。彼らはZAPのサイトへより多くの情報を提供できるように、しかし、ユーザーは、より適切な情報を記入することができます。
特に、登録ページと同様のページを完了するために、実際の電子メールアドレスが必要。
爬虫類は、ランダムな文字列を記入し、エラーを取得する可能性があります。
フォームが正常に送信されたときに、より多くのサイトが存在し、アクセスとにクロールできるように、ユーザーは、法律上の誤差に基づいて入力を提供することができます。
あなたはZAP剤中のあなたのWebアプリケーション全体を訪問するべきです。
この方法の利点は、あなたが手動でサイトにアクセスすることを要求したときに、ZAPパッシブスキャン処理がトリガーとフィードバックされます訪問し、抜け穴のいずれかをチェックし、さらにすべての警告を記録するために、脆弱性スキャンをサイトのツリー構造を完了することです。
ZAPは、すべてのページ間のリンクを確認するために、Webアプリケーションのすべてのページへのアクセスは非常に重要であることができます。
隠されたページが存在する場合、これらのページには気付かれずにオンライン掲載されるかもしれないとして、これは、安全ではありません。
だから、手動でサイトにアクセスし、可能な限り包括的でとき。
クイックスタート]メニューによって、あなたはすぐにZAPブラウザのプロキシを開始することができます。
ブラウザは、任意の証明書の警告を無視します。この道を開きます。
マニュアルアクセスサイト:
1. [スタート] ZAP、ワークベンチウィンドウ内のクイックスタート]ボタンをクリックしてください
2.マニュアルアクセス
3. URLボックス本体にアクセスしたいURLを記入
4.使用するブラウザを選択
5.お使いのブラウザで[スタート]ボタンをクリックしてください
これは、新しいユーザー設定(プロファイル)をインストールするには、ブラウザを起動します。
既存のユーザープロファイルを取りたい場合は、例えば、ブラウザのプラグインをインストールし、手動でブラウザを起動し、エージェント、インポートおよび新しいZAPルートCA証明書をZAPするように設定することができます。