この記事はアピリッツの技術ブログ「DoRuby」から移行した記事です。情報が古い可能性がありますのでご注意ください。
今回はMacでOWASP ZAPのプロキシ設定を行う手順をご紹介します。
■ 概要
【環境】
Mac OS X 10.7.5
OWASP ZAP 2.2.2
OWASP ZAPはWEBサイトの脆弱性を診断することができる、オープンソースのツールです。
このOWASP ZAPにはプロキシを利用する手動クロールと、OWASPが自動でリンクを辿って自動クロールする動的スキャンがあります。
ただ、動的スキャンだけでは検出できない項目もあるので、より細かい診断は手動クロールがおすすめです。
この手動クロール、仕組みとしてはブラウザでのリクエストを全てローカルの8080ポート(デフォルト)で起動しているOWASP ZAPを経由して行い、診断を行うというものです。
HTTPSのサイトはこの手動クロールでは診断できないのでご注意ください。
■ プロキシ設定
プロキシの設定方法は以下になります。
1. [システム環境設定]
2. [ネットワーク]
3. [(任意のデバイス)]
4. [プロキシ]
5. [Web プロキシ (HTTP)]をチェック
5-1. Webプロキシサーバ [localhost] : [8080]
6. [OK]
7. [適用]
8. ブラウザ再起動
以上で設定は完了です。
OWASP ZAPの画面を見ると、左上の[サイト]にブラウザでアクセスしたサイトのURLが表示されていくかと思います。
注意点としては、設定したPC全体のWebアクセス(HTTP)がOWASP ZAP経由となってしまいますので、ブラウザ以外でHTTPを利用する他のアプリが利用不可能となります。
診断が終わったら忘れずに設定をもとに戻すようにしましょう。
以上です。簡単に設定ができ、脆弱性診断ができるOWASP ZAPおすすめです。
