セキュリティー

その他もろもろ

脆弱性診断ツールOWASP ZAPを使ってセキュアなアプリケーション開発【セキュリティー対応】

皆さんは、WEBサイト(Webアプリケーション)の開発時、脆弱性診断はどのようにされているでしょうか?

専門業者に脆弱性診断を依頼すると、すごく費用が掛かるし、
自社でやるにしても、時間が掛かる上、専門家ではないので、完璧には出来ないし、
となってしまいそうですね。

実際、弊社でも作成したサイトの脆弱性診断については、課題の一つです。

そんな場合におすすめしたいツールの一つが、OWASP ZAPという脆弱性診断ツールです。

インストール方法

OWASP ZAPを利用するには、Java 8以上が必要になります。

Javaが問題なくインストールされていれば、あとは、OWASP ZAPを自分が使っているPC(パソコン)にインストールするだけです。

Javaのインストール

Javaが、自分のPCにインストールされていない、または、バージョンが古い場合には、
最新のJDK(Java SE Development Kit)をダウンロードして、インストールしてください。

【インストール方法】
JDK(Java SE Development Kit)をダウンロード へアクセス

「Java SE 11.0.1(LTS)」をクリック
JDK(Java SE Development Kit)
※現時点では「11.0.1」が最新ですが、都度更新されていくので、最新のJava SEを選択して下さい。

JDK(Java SE Development Kit)をダウンロード
それぞれ、ご自分の環境に合ったものを選択して、ダウンロードして下さい。
私のPCは、Windows 64ビット版になるので、Windows版のインストーラ(windows-x64_bin.exe)を選択します。
※「Accept License Agreement」にチェックを入れてから、ダウンロードを行ってください。

ダウンロードが完了したら、そのファイルをクリックしてインストールを行って下さい。

しばらく待つとインストールが完了するので、これで、OWASP ZAPをインストールする準備が整いました。

OWASP ZAPのインストール

まず、OWASP ZAPをGitHubよりダウンロードします。
OWASP ZAPをダウンロード

OWASP ZAPのダウンロードページ
私のPCは、Windows 64ビット版になるので、Windows (64) Installerを選択します。

ダウンロードが完了したら、そのファイルをクリックしてインストールを行って下さい。

しばらく待つとインストールが完了します。
無事にインストールが完了すれば、
デスクトップに白い稲妻のようなマークが入った青いアイコンが作成されていると思います。

脆弱性診断を実施

デスクトップに作成されたアイコンをクリックして、OWASP ZAPを立ち上げて下さい。

こんな小さい画面が立ち上がると思います。
OWASP ZAPを立ち上げる

ここは、取りあえず、一番上の「現在のタイムスタンプでファイル名を付けてセッションを保存」を選択して、右下の「開始」をクリックして下さい。

以下の様な画面が立ち上がります。
OWASP ZAPで脆弱性診断を実施
「攻撃対象 URL」に、診断を行いたいページのURLを入力して、「攻撃」をクリックして下さい。
これで診断が開始されます。

今回は、試しに、5、6年前に組んだ弊社所有の某サイトのお問合せフォームを診断してみます。
※プログラムの規模にもよりますが、しばらく時間が掛かるので、終了するまで待ちます。

で、診断結果がこちらです。
OWASP ZAPの診断結果
診断結果は、画面左下の枠に表示されます。

見事なまでに、いろいろ出ていますね。

詳細を知りたい場合には、該当のアラートをクリックしてみて下さい。
右側の枠に詳細が表示されます。

 

試しに、分かりやすいところで、「CookieのHttpOnly属性が未設定」を選択してみます。
OWASP ZAPの診断結果詳細

Cookie(クッキー)にHTTPOnly属性を設定しろ!と言っていることが分かりますね。
CookieにHTTPOnly属性を設定してないと、JavaScriptからCookieへのアクセスが可能になってしまうので、
どうしてもJavaScriptからCookieを参照する必要がある場合を除いては、HTTPOnly属性を設定しておいた方が安全です。
それにより、XSS(クロスサイトスクリプティング)など攻撃を防いでくれます。

このような感じで、検出された脆弱性をつぶしていけば、
より安全なアプリケーションに仕上がってくので、興味のある方は、一度「OWASP ZAP」を試してみてはいかがでしょうか!


関連記事

  1. twitter ウィジェット01

    その他もろもろ

    twitterのウィジェット

    今日はtwitterのタイムラインをサイトに表示させてみました。&…

  2. Mildom Hotel

    その他もろもろ

    今、カザフスタンに来ています

    今カザフスタンにいます。昼過ぎに成田を出てから仁川…

  3. カザフスタン トズバイル塩湖

    その他もろもろ

    【カザフスタン】秘境トゥズバイル塩湖、ウスチュルト台地へ

    トゥズバイル塩湖 2Daysツアーへ昨日、今日とで1泊…

  4. その他もろもろ

    【新PCの設定②】各種ブラウザのインストール

    各種ブラウザのインストールですが、今はいろいろなブラウザを選択でき…

  5. その他もろもろ

    ドットインストールでお勉強です

    最近、ドットインストールで勉強しています。ここ…

  6. SSL(HTTPS通信)

    その他もろもろ

    SSL導入でコンバージョン率アップ!?

    今日はセミナーに参加してきました!!「成功事例で学…

最近の記事

  1. JavaScript
  2. バージョンアップ
  3. JavaScript
  4. セキュリティー
  5. JavaScript
PAGE TOP