こんにちは,しまさん(@shimasan0x00)です.
セキュリティの勉強をしているとペネトレーションテストをしてみたいなと思うことが多々あります.
そこで今回はWebアプリケーション脆弱性診断ツールであるOWASP ZAP2.7.0をMacにインストールしたいと思います.
OWASP ZAPとは
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/Screenshot-2018-09-03-22.18.46.png?resize=1546%2C592&ssl=1)
OWASP ZAPとはWebアプリケーションの脆弱性診断を自動で行うことができるツールです.
自動診断を行えるだけでなく,手動診断を行うための補助的機能も有しています.
自動診断は非常に便利ですが,誤検知の可能性があるのでそのまま結果を受け入れないように気をつけなければなりません.
自動診断のメリット
- 手動に比べて診断のスピードがはやい
- 脆弱性診断を行うための一連の流れを作成できる(テストケースを作れる)
- 診断結果をまとめたレポートを作成してくれる
自動診断の苦手な部分
- 人の判断が必要な要素の診断
- 操作が必要なもの
- 脆弱性が顕現するのに複数のパラメータが必要なとき
- 実行できるのが一度だけの場合
OWASP ZAPのインストール
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/zap1.png?resize=1500%2C575&ssl=1)
では,OWASP ZAPのインストールをしていきましょう.
まずはOWASPZAPのページへ行き,「Download ZAP」をクリックしてください.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/zap2.png?resize=532%2C368&ssl=1)
Githubのページに移動します.
私はMacOSなのでMacOS Installerをダウンロードします.
dmgファイルをダウンロードできます.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/Screenshot-2018-09-03-23.02.53.png?resize=1540%2C872&ssl=1)
Applicationsにドラッグアンドドロップして,OWASP ZAPを起動してみましょう.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/Screenshot-2018-09-03-23.06.14.png?resize=1600%2C1200&ssl=1)
納得できたなら「Accept」を押してください.OWASP ZAPが起動します.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/zap3.png?resize=1500%2C831&ssl=1)
無事起動できました.
赤枠の部分でURLを入力すればかなり容易に自動診断を始めることができます.
ペネトレーションテストは許可が与えられたもののみに行ってください.
試したいのであればローカルに自分で立てたもので.
日本語化
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/zap4.png?resize=227%2C259&ssl=1)
OWASP ZAPを起動しているときに画面左上のZAPからPreferencesを選択してください.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/zap5.png?resize=514%2C399&ssl=1)
Languageからプルダウンし,日本語を選択してください.
OWASP ZAPを再起動すると日本語になっています.
さいごに
今回はMacにWebアプリケーション脆弱性診断ツールであるOWASP ZAP2.7.0のインストールを行いました.
次はOWASP ZAPのためにブラウザの設定をしたり,実際にテストをしてみたいと思います.