[ハッキング被害]現役エンジニアが教えるWEBアプリケーションの脆弱性を診断する「OWASP ZAP」の使い方と簡易スキャン

WordPress
スポンサーリンク

ネットバンキングの普及によって身近になったハッキング被害

利用者目線も大切だけど加害者目線でネット利用を考えたい

数分で容易にハッキングが行えることが分かり、複雑なパスワードや対策が必要だと実感してもらうよ!

カップラーメン食べる間にハッキングが終わるイメージだから注意してネットを使ってほしい。

これから紹介する内容は、ハッキングの手法を公開している。一般的な攻撃手法を公開する事で技術を陳腐化させ利用者や管理者が最低限のセキュリティレベルを上げる事を目的としている。

これらの手法やソフトへアクセス、ダウンロードなどで起こった、あらゆる損害に我々は一切の責任を負わないし、自己責任で利用する事を了承したものとする。

スポンサーリンク

ツールをダウンロード

今回は【OWASP ZAP】を使います。

Open Web Application Security Project® (OWASP)は、WEBアプリケーションの脆弱性を診断するツールです。

セキュリティエンジニアやネットワークエンジニアには知られているツールですね。

OWASP ZAPは、自動検査型でメニューが日本語対応し操作が容易で1クリックで検査が完了する為、初心者でも使いやすい。

「JRA」をダウンロード

「OWASP ZAP」には「JABA」が必要になるので予めインストールしておく。

「サイトにアクセス」し【同意して無料ダウンロードを開始】を選択

公式サイトDownload java

ダウンロードしたファイルを選択する

【OK】を選択する

【インストール】を選択する

【閉じる】を選択する

「ZAP」をダウンロード

「サイトにアクセス」し自分のOSの【Download】を選択

公式サイトDownload ZAP

【ファイルを保存】を選択する

「ZAP_2_10_0_windows」ファイルを選択する

【次へ】を選択する

【次へ】を選択する

【次へ】を選択する

【Installer】を選択する

【終了】を選択する

「ZAP」ファイルを選択する

【アクセスを許可する】を選択する

【開始】を選択する

チェック方法を選択する

次の3つのチェック方法でWebアプリケーションの脆弱性を確認します。

  • 簡易スキャン
  • 静的スキャン
  • 動的スキャン

プロテクトモードを選択する

  • セーフモード:コンテキストに登録しても、クローリングや動的スキャンをしない
  • プロテクトモード:コンテキストに登録したサイトのみ診断する
  • 標準モード:見つけたサイトは外部でも診断する
  • 攻撃モード:コンテキストに登録したサイトのみ診断する(リアルタイム診断開始)

【Automatic Scan】を選択する

①スキャン対象のURLを入力し、②【攻撃】を選択する

スキャンが開始される

スキャンの進捗が表示される。

結果が表示される

脆弱性が見つかった箇所が、検索結果として、赤丸、黄丸、青丸で表示され、それぞれ解決策などが表示される。

参考記事:「~ 3ウェブ(ウ3種のオープIPAブサイウェブアプンソースの脆Aテクニトにおアプリ脆弱性検査ニカルける脆ケーシツールを操作ルウォッ脆弱性検ション検作性、検査精ッチ 検査手法検査編)精度等で比較法の紹)」較したレポー1 紹介ート ~

OWASP ZAPは結構誤検知も多いため、本当に脆弱性が存在するのかを手動で精査する必要があります。

レポートの作成

各検査終了後に、【レポート】>【HTMLレポート生成】を選択し、HTMLで出力させる。

終わりに

ハッキングが専門的な知識を必要とするイメージだけど、ツールが公開され自動で攻撃が完了する事に気が抜けたかもしれません

多くの被害を出し続けている攻撃は、5年前や10年前などにシステムの更新をしていなかったり、不用意なリンクURLをクリックしたなど基本的なものが殆どです。

被害に会わない為にも改善を行って下さいね。

本格的に診断を行いたい方は、以下の本が参考になりますよ!

Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術 [ 上野 宣 ]
by カエレバ

コメント

タイトルとURLをコピーしました