セキュリティー

その他もろもろ

脆弱性診断ツールOWASP ZAPを使ってセキュアなアプリケーション開発【セキュリティー対応】

皆さんは、WEBサイト(Webアプリケーション)の開発時、脆弱性診断はどのようにされているでしょうか?

専門業者に脆弱性診断を依頼すると、すごく費用が掛かるし、
自社でやるにしても、時間が掛かる上、専門家ではないので、完璧には出来ないし、
となってしまいそうですね。

実際、弊社でも作成したサイトの脆弱性診断については、課題の一つです。

そんな場合におすすめしたいツールの一つが、OWASP ZAPという脆弱性診断ツールです。

インストール方法

OWASP ZAPを利用するには、Java 8以上が必要になります。

Javaが問題なくインストールされていれば、あとは、OWASP ZAPを自分が使っているPC(パソコン)にインストールするだけです。

Javaのインストール

Javaが、自分のPCにインストールされていない、または、バージョンが古い場合には、
最新のJDK(Java SE Development Kit)をダウンロードして、インストールしてください。

【インストール方法】
JDK(Java SE Development Kit)をダウンロード へアクセス

「Java SE 11.0.1(LTS)」をクリック
JDK(Java SE Development Kit)
※現時点では「11.0.1」が最新ですが、都度更新されていくので、最新のJava SEを選択して下さい。

JDK(Java SE Development Kit)をダウンロード
それぞれ、ご自分の環境に合ったものを選択して、ダウンロードして下さい。
私のPCは、Windows 64ビット版になるので、Windows版のインストーラ(windows-x64_bin.exe)を選択します。
※「Accept License Agreement」にチェックを入れてから、ダウンロードを行ってください。

ダウンロードが完了したら、そのファイルをクリックしてインストールを行って下さい。

しばらく待つとインストールが完了するので、これで、OWASP ZAPをインストールする準備が整いました。

OWASP ZAPのインストール

まず、OWASP ZAPをGitHubよりダウンロードします。
OWASP ZAPをダウンロード

OWASP ZAPのダウンロードページ
私のPCは、Windows 64ビット版になるので、Windows (64) Installerを選択します。

ダウンロードが完了したら、そのファイルをクリックしてインストールを行って下さい。

しばらく待つとインストールが完了します。
無事にインストールが完了すれば、
デスクトップに白い稲妻のようなマークが入った青いアイコンが作成されていると思います。

脆弱性診断を実施

デスクトップに作成されたアイコンをクリックして、OWASP ZAPを立ち上げて下さい。

こんな小さい画面が立ち上がると思います。
OWASP ZAPを立ち上げる

ここは、取りあえず、一番上の「現在のタイムスタンプでファイル名を付けてセッションを保存」を選択して、右下の「開始」をクリックして下さい。

以下の様な画面が立ち上がります。
OWASP ZAPで脆弱性診断を実施
「攻撃対象 URL」に、診断を行いたいページのURLを入力して、「攻撃」をクリックして下さい。
これで診断が開始されます。

今回は、試しに、5、6年前に組んだ弊社所有の某サイトのお問合せフォームを診断してみます。
※プログラムの規模にもよりますが、しばらく時間が掛かるので、終了するまで待ちます。

で、診断結果がこちらです。
OWASP ZAPの診断結果
診断結果は、画面左下の枠に表示されます。

見事なまでに、いろいろ出ていますね。

詳細を知りたい場合には、該当のアラートをクリックしてみて下さい。
右側の枠に詳細が表示されます。

 

試しに、分かりやすいところで、「CookieのHttpOnly属性が未設定」を選択してみます。
OWASP ZAPの診断結果詳細

Cookie(クッキー)にHTTPOnly属性を設定しろ!と言っていることが分かりますね。
CookieにHTTPOnly属性を設定してないと、JavaScriptからCookieへのアクセスが可能になってしまうので、
どうしてもJavaScriptからCookieを参照する必要がある場合を除いては、HTTPOnly属性を設定しておいた方が安全です。
それにより、XSS(クロスサイトスクリプティング)など攻撃を防いでくれます。

このような感じで、検出された脆弱性をつぶしていけば、
より安全なアプリケーションに仕上がってくので、興味のある方は、一度「OWASP ZAP」を試してみてはいかがでしょうか!


弊社では、以下の方に向けて、WordPressの短期学習プログラムを
格安で提供しております。

  • 個人でWordPressを使ったサイト構築をお考えの方
  • 自社でホームページの構築・運用をお考えの方
  • 企業のWEB担当者の方

内容

基本的には、初心者の方を対象にした学習プログラムです。

※ WordPress制作の上級者の方の場合、弊社の学習プログラムはあまり役に立たないと考えています。

  • ・ WordPressのインストールからセッティングの方法
  • ・ WordPressのテーマ選びについて
  • ・ WordPressのプラグイン選びと設定方法について
  • ・ サーバの準備方法
  • ・ ドメインの取得・管理の方法
  • ・ FTPの設定方法
  • など

ご用意頂くもの

  • ・ ノートPC
    ※ 弊社はWindowsを業務で利用しておりますので、できればWindowsのPCをおすすめしています。
  • WordPressでサイトの制作を考えているが、何から始めればいいのか分からない。
  • ドメインやサーバはどうやって準備すればいいの?
  • そもそもホームページの公開には何が必要なの?

などなど、

どのような内容でも構いませんので、お気軽にお問い合わせ下さい。

お客様の目的をお聞きした上で、最適の学習プランを提案致します。

ご興味のある方は、以下の内容を記載の上、一度お問い合わせ下さい。
こちらより、折り返しメールを致します。

  • ① お名前
  • ② 折り返し先のメールアドレス
  • ③ 希望の学習内容

関連記事

  1. SSL(HTTPS通信)

    その他もろもろ

    HTTPS通信(SSL化)することによるSEO上の効果を検証してみる!!

    昨年、GoogleがHTTPS通信(常時SSL通信)されたページをSE…

  2. Piwikユーザー追加01

    その他もろもろ

    Piwikのユーザーを追加

    Piwikではインストールじにルートアカウントを作成しますが、複数…

  3. その他もろもろ

    Cドライブのお掃除です!!

    今日は台風の為、少し遅れて9時半頃に出社しました!!&nbsp…

  4. その他もろもろ

    【新PCの設定②】各種ブラウザのインストール

    各種ブラウザのインストールですが、今はいろいろなブラウザを選択でき…

  5. Google Chromeのアドレスバー

    その他もろもろ

    【Chrome】9月から「保護された通信」が消えます

    Google Chromeから「保護された通信」の表示が消えます…

  6. その他もろもろ

    モバイルファーストインデックス

    モバイルファーストインデックスがアナウンスいよいよモバ…

最近の記事

  1. WordPress(WP)
  2. 404 Not Found
  3. WordPress(WP)
  4. WordPress(WP)
  5. PHP
  6. PHP
  7. 風邪予防
  8. WordPress(WP)
  9. PHP
  10. 宅建
PAGE TOP