こんにちは,しまさん(@shimasan0x00)です.
前回の記事で脆弱性診断を行うことができるツールOWASP ZAPをMacにインストールしました.
[Mac]Webアプリケーション脆弱性診断ツールであるOWASP ZAP2.7.0のインストール方法
しかし,Webアプリケーションの脆弱性診断を行うためにまだ少し準備が必要です.
今回はFirefoxを用いて脆弱性診断に適した設定をしていきます.
Firefoxのインストールとプロファイル設定
まずはFirefoxのインストールをしましょう.
インストールをしている人はこれから脆弱性診断に使うためのカスタマイズをしていきます.
Firefoxはプロファイルという機能があり,普段使い用と診断用とでわけることができます. 詳しくは,
こちらを参考にしてください.
MacではまずTerminalを開いてコマンドを実行してください.
実行するとプロファイル設定画面がでてきます.
/Applications/Firefox.app/Contents/MacOS/firefox-bin -P
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/f1.png?resize=395%2C243&ssl=1)
新規作成プロファイルを作成を押してください.
プロファイル名を設定し,保存する場所を決めたら完了を押してください.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/f2.png?resize=430%2C324&ssl=1)
完了してからもう一度Firefoxを起動させてください.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/Screenshot-2018-09-05-19.52.00.png?resize=2560%2C1436&ssl=1)
無事新しいプロファイルで起動することができました.
プロファイルの設定あれこれ
Firefoxのアドレス入力部分に「about:profiles」と打つとプロファイル変更ができる画面が表示されます.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/f3.png?resize=1500%2C841&ssl=1)
デフォルトではないほうを別のプロセスとして実行することができます.
また,複数プロファイルを作成しているとFirefoxの起動時にどのプロファイルで起動するか確認されるようになります.
面倒だと思ったら「今後このプロファイルを使用する」にチェックを入れるとよいと思います.
Firefoxのアドオンをインストール
ここでは複数の脆弱性診断で役に立つであろうアドオンについて紹介していきます.
アドオンを追加するにはここに行く必要があります.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/f4.png?resize=1500%2C839&ssl=1)
いまからこの枠の部分で検索していきます.
もちろんリンクから飛んでもらってもいいです.
FoxyProxy Basic
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/Screenshot-2018-09-05-19.55.52.png?resize=1564%2C622&ssl=1)
ブラウザのプロキシを簡単に変更することができるアドオン
Web Developer
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/Screenshot-2018-09-05-19.58.00.png?resize=1582%2C628&ssl=1)
フォーム情報の表示,CokkieやRefererの無効化などが行えるアドオン
User-Agent Switcher
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/Screenshot-2018-09-05-20.00.24.png?resize=1580%2C632&ssl=1)
その名の通りユーザーエージェントを簡単に変更することができるアドオン
Wappalyzer
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/Screenshot-2018-09-05-20.01.08.png?resize=1578%2C610&ssl=1)
Webサーバーの情報やJavaScriptの情報を確認することができるアドオン
プロキシ設定&OWASP ZAPの証明書を読み込む
まずはプロキシの設定をします.
Firefoxの設定から一般->ネットワークプロキシ->接続設定を押してください.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/f5.png?resize=1500%2C839&ssl=1)
手動でプロキシを設定するを選択しHTTPプロキシに127.0.0.1を,ポートには8080を入力してください.
また,すべてのプロトコルでこのプロキシを使用するにチェックをし,OKを押してください.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/f6.png?resize=1339%2C1125&ssl=1)
つぎはOWASP ZAP側で操作を行います.
OWASP ZAPを起動してください.
画面の左上にあるZAPからPreferencesを選択してください.
ダイナミックSSL証明書->保存を押してください.
ここで生成されたものは他人に漏らさないよう厳重に保管してください.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/f7.png?resize=1443%2C1125&ssl=1)
では次にFirefoxの方で証明書を読み込む設定をしていきます.
また,設定からプライバシーとセキュリティ->証明書を表示を選択してください.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/p8.png?resize=1500%2C839&ssl=1)
開いたら読み込むを選び,先程作成した証明書を選択してください.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/f9.png?resize=1500%2C860&ssl=1)
この認証局によるウェブサイトの識別を信頼するにチェックをつけ,OKしてください.
![](https://i0.wp.com/murabitoleg.com/wp-content/uploads/2018/09/Screenshot-2018-09-05-20.15.09.png?resize=1016%2C502&ssl=1)
※プロキシの設定をしているのでOWASP ZAPを起動してないとネット繋がりません
さいごに
今回はOWASP ZAPの追加の設定とFirefoxの設定をしました.
次はせっかくOWASP ZAPの設定をしたのでWebアプリケーションに使ってみたいなと思います.