WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”

投稿者： gucchi
カテゴリー： プログラム >セキュリティ

最近はWEBサイトへの攻撃がかなり多く見うけられるようになってきました。
私が管理している比較的小さなWEBサイトでも、何度か攻撃を受けたりしています。
幸い大きな被害は受けていませんが、もし自分が開発したWEBアプリケーションが攻撃を受けて被害が出たなんてことを想像するとゾッとしますね。
セキュリティの専門家ではなくても、開発の段階からある程度基本的な脆弱性への対応は行っておくべきだと思います。
今回は開発時にWEBサイトの脆弱性をチェックするのに役に立つツール【OWASP ZAP】の紹介をしたいと思います。

OWASP ZAPのインストール

以下のサイトよりOWASP ZAPをダウンロードします。
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

実行にはJavaのバージョン7以上が必要となりますので、もしインストールされていないようであれば以下のサイトからダウンロードして事前にインストールしておきます。
http://www.oracle.com/technetwork/java/javase/downloads/index.html

インストールされているかどうかはコマンドプロンプトから以下のようにして確認できます。

この場合だとバージョン1.8.0_91がインストールされています。

準備ができたらOWASP ZAPをインストールします。

OWASP ZAPでWEBサイトの脆弱性をチェックしてみる

それでは早速脆弱性をチェックしてみましょう。
今回は開発中のWEBアプリケーションに対してチェックを行ってみます。
まずはインストールしたOWASP ZAPを起動します。
すると以下のような画面が立ち上がります。

ツール→オプション→ローカルプロキシを選択します。

今回はポートを8087としました。

ブラウザ側のプロキシ設定も同様に行います。

それでは脆弱性チェックを行う開発中のWEBサイトへアクセスしてみます。

チェック対象となるWEBサイトが追加されました。

WEBサイトを選択して右クリックしコンテキストに含めるを選択します。

WEBサイトを選択して右クリックし攻撃→スパイダーを選択し実行します。

するとトップページからリンクされているページを自動的に巡回してチェック対象ページを洗い出してくれます。

さて、いよいよ攻撃を行ってみます。
WEBサイトを選択して右クリックし攻撃→動的スキャンを選択し実行します。

チェックが終わるとアラートタブに見つかった脆弱性の一覧が表示されます。

まとめ

今回は既にチェック済みのWEBサイトが対象でしたので、アラートがあまり表示されませんでしたが、チェックしていないWEBサイトだともっと盛大にアラートが表示されることが大半です。
ここで見つかった脆弱性が全てではありませんが、かなり多くの脆弱性をサポートしていますので手動で一からチェックするよりは手間が減ります。
ただし、あくまで自分が開発中のWEBサイトに対してのみチェックを行うようにしてください。
動的チェックではメールを送信したりデータベースの中身を書き換えたりしてしまう事もありますので、くれぐれも公開済みのWEBサイトのチェックなどしないようにしてくださいね。