MacでのOWASP ZAPのプロキシ設定

この記事はアピリッツの技術ブログ「DoRuby」から移行した記事です。情報が古い可能性がありますのでご注意ください。

今回はMacでOWASP ZAPのプロキシ設定を行う手順をご紹介します。

■ 概要

【環境】
Mac OS X 10.7.5
OWASP ZAP 2.2.2

OWASP ZAPはWEBサイトの脆弱性を診断することができる、オープンソースのツールです。

このOWASP ZAPにはプロキシを利用する手動クロールと、OWASPが自動でリンクを辿って自動クロールする動的スキャンがあります。

ただ、動的スキャンだけでは検出できない項目もあるので、より細かい診断は手動クロールがおすすめです。

この手動クロール、仕組みとしてはブラウザでのリクエストを全てローカルの8080ポート(デフォルト)で起動しているOWASP ZAPを経由して行い、診断を行うというものです。

HTTPSのサイトはこの手動クロールでは診断できないのでご注意ください。

■ プロキシ設定

プロキシの設定方法は以下になります。

1. [システム環境設定]
2. [ネットワーク]
3. [(任意のデバイス)]
4. [プロキシ]
5. [Web プロキシ (HTTP)]をチェック
5-1. Webプロキシサーバ [localhost] : [8080]
6. [OK]
7. [適用]
8. ブラウザ再起動

以上で設定は完了です。

OWASP ZAPの画面を見ると、左上の[サイト]にブラウザでアクセスしたサイトのURLが表示されていくかと思います。

注意点としては、設定したPC全体のWebアクセス(HTTP)がOWASP ZAP経由となってしまいますので、ブラウザ以外でHTTPを利用する他のアプリが利用不可能となります。

診断が終わったら忘れずに設定をもとに戻すようにしましょう。

以上です。簡単に設定ができ、脆弱性診断ができるOWASP ZAPおすすめです。