【初心者向け】Webアプリを診断するならOWASP ZAPではじめよう -実践編-

Webアプリを診断するならOWASP ZAPではじめよう

今日もインドカレーを食べるインフラ担当の「やっさん」です。

 

やっさん人物紹介:やっさん(加藤)
オンラインゲーム会社や通信キャリアに常駐後、現在はサーバ構築・運用とセキュリティ担当。
得意技:Webサーバ/Webアプリケーションサーバの構築・運用
必殺技:スパイスから本格インドカレーを作る
Qiita:curryperformer-kato

 

前回、Webアプリケーションの脆弱性診断用ツール「OWASP ZAP」のインストールを行いました。

 

今回は、OWASP ZAPを使って、やられ役Webサイトの「OWASP mutillidae Ⅱ」の脆弱性診断と、HTTPリクエストの改ざんを行います。

 

インターネット上で公開されているサーバへ行うのは禁止

インターネット上で公開されている、第三者が管理者のサーバに対して、脆弱性診断を行うことは絶対にやめてください。

 

誤って実行した場合、以下の危険性があります。

 

  • プロバイダから警告が来ます。
  • 不正アクセスで逮捕、逮捕されなくても拘留されます。
  • 企業から賠償金を請求されます。

 

なお、ホスティング(レンタルサーバ等)やパブリッククラウドを用いて運用している、ご自身のサーバに関して脆弱性診断を行ってもよいのかという質問をよくいただきますが、ホスティングやクラウドを提供している事業者によってポリシーが異なりますので、必ず事業者へお問い合わせされますようお願いします。

 

Webアプリの自動脆弱性診断

OWASP ZAP を使った最も簡単な脆弱性診断方法は、「攻撃対象URL」に診断対象の URLまたはIPアドレスを入力して、「攻撃」ボタンをクリックするだけです。

 

OWASP_1

 

自動診断が行われています。

 

OWASP_2

 

診断結果が表示されました。

 

OWASP_3

 

脆弱性診断レポートの作成

OWASP ZAPの「レポート」タブをクリックすると、HTMLやXMLなど任意の形式でレポートを出力することができます。

 

OWASP_4

 

OWASP ZAPを使いこなしたいならコミュニティや勉強会へ行こう

ここでご紹介した方法は、初めて脆弱性診断を行う方向けの、基本的な内容になります。

 

OWASP ZAPでは、他にも様々な診断が行えますし、自動ではなく手動で診断を行っていくテクニックもあります。

 

さらにOWASP ZAPを使いこなせるようになりたい方は、脆弱性診断研究会の「脆弱性診断ええんやで(^^)」という勉強会への参加がオススメです。

 

徳丸 浩 氏が率いる株式会社HASHコンサルティングの松本さんが丁寧に教えてくださいます。

 

また、日本国内のOWASPのコミュニティOWASP Japanでは、「OWASP Night」や「OWASP Day」というイベントを開催しています。

 

脆弱性診断の相場や内容などをお伝えし、中立な立場でご相談に乗っています

脆弱性診断を行わなければならなくなったとき、まず最初に行うことはインターネットでの検索だと思います。

 

私も経験がありますが、実際に検索してみると、価格が非公開(お問い合わせが必要)であったり、公開されていても20~30万円からなどと高額であったりします。

 

脆弱性診断に対する知識がない状態で、各社の営業に話を伺うと、本来必要のないサービスまで付加されたり、言いくるめられてしまう気がして、お問い合わせをするのにも躊躇していました。

 

また、各社のHPを見ていますと、具体的にどのような診断を行うのか、自社のWebサービスに必要なメニューはどれなのかが、初見ではわかりづらいと思います。

 

そこで、セキュリティのプロである弊社では、脆弱性診断の相場や依頼先の企業の選び方、御社のWebサービスにとって必要な診断内容についてご相談に乗っています。

 

脆弱性診断を依頼される前に、ぜひ一度、弊社お問い合わせフォームからお問い合わせください。

この記事を書いた人:


この記事に関してのお問い合わせ
御連絡・ご返信は原則2営業日以内を予定しております。
お急ぎの場合は、お手数ですが下記電話でもご対応をしております。

システムガーディアン株式会社
受付時間:平日9:00~18:00
受付担当:坪郷(つぼごう)・加藤
電話:03-6758-9166