IT

ペネトレーションテストに適したFirefoxの設定をしていく話

  /

こんにちは,しまさん(@shimasan0x00)です.

前回の記事で脆弱性診断を行うことができるツールOWASP ZAPをMacにインストールしました.


[Mac]Webアプリケーション脆弱性診断ツールであるOWASP ZAP2.7.0のインストール方法


しかし,Webアプリケーションの脆弱性診断を行うためにまだ少し準備が必要です.

今回はFirefoxを用いて脆弱性診断に適した設定をしていきます.

Contents
  1. Firefoxのインストールとプロファイル設定
  2. Firefoxのアドオンをインストール
  3. プロキシ設定&OWASP ZAPの証明書を読み込む

Firefoxのインストールとプロファイル設定

まずはFirefoxのインストールをしましょう.

Mozilla
 
史上最速の Firefox をダウンロード
https://www.mozilla.org/ja/firefox/new/
ページ読み込みの高速化、メモリー使用量の削減、さらに豊富な機能を兼ね備えた、まったく新しい Firefox、誕生。

インストールをしている人はこれから脆弱性診断に使うためのカスタマイズをしていきます.

Firefoxはプロファイルという機能があり,普段使い用と診断用とでわけることができます. 詳しくは,

support.mozilla.org
 
プロファイルマネージャーを使用して、Firefox のプロファイルを作成または削除す…
https://support.mozilla.org/ja/kb/profile-manager-create-and-remove-firefox-profiles#w_cucgciaaacceczcuckaiccckaciioiaoao
Firefox は、個人情報と設定を、プロファイルフォルダーに保存します。これは、Firefox のプログラムファイルとは別の場所にあります。この記事は、Firefox を他のプロファイルで動作させる方法を学んでください。

こちらを参考にしてください.

MacではまずTerminalを開いてコマンドを実行してください.

実行するとプロファイル設定画面がでてきます.

/Applications/Firefox.app/Contents/MacOS/firefox-bin -P

 

新規作成プロファイルを作成を押してください.

プロファイル名を設定し,保存する場所を決めたら完了を押してください.

完了してからもう一度Firefoxを起動させてください.

無事新しいプロファイルで起動することができました.

プロファイルの設定あれこれ

Firefoxのアドレス入力部分に「about:profiles」と打つとプロファイル変更ができる画面が表示されます.

デフォルトではないほうを別のプロセスとして実行することができます.

また,複数プロファイルを作成しているとFirefoxの起動時にどのプロファイルで起動するか確認されるようになります.

面倒だと思ったら「今後このプロファイルを使用する」にチェックを入れるとよいと思います.

Firefoxのアドオンをインストール

ここでは複数の脆弱性診断で役に立つであろうアドオンについて紹介していきます.

アドオンを追加するにはここに行く必要があります.

addons.mozilla.org
 
Firefox (ja) 向けアドオン
https://addons.mozilla.org/ja/firefox/
Download Firefox extensions and themes. They’re like apps for your browser. They can block annoying ads, protect passwords, change browser appearance, and more.

 

いまからこの枠の部分で検索していきます.

もちろんリンクから飛んでもらってもいいです.

FoxyProxy Basic

addons.mozilla.org
FoxyProxy Basic – ? Firefox (ja) 向け拡張機能を入手
https://addons.mozilla.org/ja/firefox/addon/foxyproxy-basic/?src=search
Firefox 向け FoxyProxy Basic をダウンロード。FoxyProxy Basic is a simple on/off proxy switcher. More advanced features and configuration options are offered by FoxyProxy Standard.

ブラウザのプロキシを簡単に変更することができるアドオン

Web Developer

addons.mozilla.org
 
Web Developer – ? Firefox (ja) 向け拡張機能を入手
https://addons.mozilla.org/ja/firefox/addon/web-developer/?src=search
Firefox 向け Web Developer をダウンロード。The Web Developer extension adds various web developer tools to the browser.

フォーム情報の表示,CokkieやRefererの無効化などが行えるアドオン

User-Agent Switcher

addons.mozilla.org
 
User-Agent Switcher – ? Firefox (ja) 向け拡張機能を入手
https://addons.mozilla.org/ja/firefox/addon/user-agent-switcher-revived/?src=search
Firefox 向け User-Agent Switcher をダウンロード。Quickly and easily switch between popular user-agent strings.

その名の通りユーザーエージェントを簡単に変更することができるアドオン

Wappalyzer

addons.mozilla.org
Wappalyzer – ? Firefox (ja) 向け拡張機能を入手
https://addons.mozilla.org/ja/firefox/addon/wappalyzer/?src=search
Firefox 向け Wappalyzer をダウンロード。Identify technologies on websites

Webサーバーの情報やJavaScriptの情報を確認することができるアドオン

プロキシ設定&OWASP ZAPの証明書を読み込む

まずはプロキシの設定をします.

Firefoxの設定から一般->ネットワークプロキシ->接続設定を押してください.

手動でプロキシを設定するを選択しHTTPプロキシに127.0.0.1を,ポートには8080を入力してください.

また,すべてのプロトコルでこのプロキシを使用するにチェックをし,OKを押してください.

つぎはOWASP ZAP側で操作を行います.

OWASP ZAPを起動してください.

画面の左上にあるZAPからPreferencesを選択してください.

ダイナミックSSL証明書->保存を押してください.

ここで生成されたものは他人に漏らさないよう厳重に保管してください.

では次にFirefoxの方で証明書を読み込む設定をしていきます.

また,設定からプライバシーとセキュリティ->証明書を表示を選択してください.

開いたら読み込むを選び,先程作成した証明書を選択してください.

この認証局によるウェブサイトの識別を信頼するにチェックをつけ,OKしてください.

※プロキシの設定をしているのでOWASP ZAPを起動してないとネット繋がりません

さいごに

今回はOWASP ZAPの追加の設定とFirefoxの設定をしました.

次はせっかくOWASP ZAPの設定をしたのでWebアプリケーションに使ってみたいなと思います.

Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術
posted with ヨメレバ
上野 宣 翔泳社 2016-08-02
Amazon
Kindle
楽天ブックス
楽天kobo
7net
 
セキュリティ
ABOUT ME
しまさん
高専→大学編入→大学院→? / 計算社会科学,ウェブマイニングなど / グレープフルーツと本が好き / SNS(Twitter,YouTube,Twitch)やVTuberのデータ分析屋 詳しいプロフィールはこちら≫ 投げ銭はコチラ
BLOG:https://murabitoleg.com
あわせて読みたい