こんにちは,しまさん(@shimasan0x00)です.
前回の記事で脆弱性診断を行うことができるツールOWASP ZAPをMacにインストールしました.
[Mac]Webアプリケーション脆弱性診断ツールであるOWASP ZAP2.7.0のインストール方法
しかし,Webアプリケーションの脆弱性診断を行うためにまだ少し準備が必要です.
今回はFirefoxを用いて脆弱性診断に適した設定をしていきます.
Firefoxのインストールとプロファイル設定
まずはFirefoxのインストールをしましょう.
ページ読み込みの高速化、メモリー使用量の削減、さらに豊富な機能を兼ね備えた、まったく新しい Firefox、誕生。 史上最速の Firefox をダウンロード – Mozilla |
インストールをしている人はこれから脆弱性診断に使うためのカスタマイズをしていきます.
Firefoxはプロファイルという機能があり,普段使い用と診断用とでわけることができます. 詳しくは,
Firefox は、個人情報と設定を、プロファイルフォルダーに保存します。これは、Firefox のプログラムファイルとは別の場所にあります。この記事は、Firefox を他のプロファイルで動作させる方法を学んでください。 プロファイルマネージャーを使用して、Firefox のプロファイルを作成または削除す… – |
こちらを参考にしてください.
MacではまずTerminalを開いてコマンドを実行してください.
実行するとプロファイル設定画面がでてきます.
/Applications/Firefox.app/Contents/MacOS/firefox-bin -P
新規作成プロファイルを作成を押してください.
プロファイル名を設定し,保存する場所を決めたら完了を押してください.
完了してからもう一度Firefoxを起動させてください.
無事新しいプロファイルで起動することができました.
プロファイルの設定あれこれ
Firefoxのアドレス入力部分に「about:profiles」と打つとプロファイル変更ができる画面が表示されます.
デフォルトではないほうを別のプロセスとして実行することができます.
また,複数プロファイルを作成しているとFirefoxの起動時にどのプロファイルで起動するか確認されるようになります.
面倒だと思ったら「今後このプロファイルを使用する」にチェックを入れるとよいと思います.
Firefoxのアドオンをインストール
ここでは複数の脆弱性診断で役に立つであろうアドオンについて紹介していきます.
アドオンを追加するにはここに行く必要があります.
Download Firefox extensions and themes. They’re like apps for your browser. They can block annoying ads, protect passwords, change browser appearance, and more. Firefox (ja) 向けアドオン – |
いまからこの枠の部分で検索していきます.
もちろんリンクから飛んでもらってもいいです.
FoxyProxy Basic
Firefox 向け FoxyProxy Basic をダウンロード。FoxyProxy Basic is a simple on/off proxy switcher. More advanced features and configuration options are offered by FoxyProxy Standard. FoxyProxy Basic – ? Firefox (ja) 向け拡張機能を入手 – |
ブラウザのプロキシを簡単に変更することができるアドオン
Web Developer
Firefox 向け Web Developer をダウンロード。The Web Developer extension adds various web developer tools to the browser. Web Developer – ? Firefox (ja) 向け拡張機能を入手 – |
フォーム情報の表示,CokkieやRefererの無効化などが行えるアドオン
User-Agent Switcher
Firefox 向け User-Agent Switcher をダウンロード。Quickly and easily switch between popular user-agent strings. User-Agent Switcher – ? Firefox (ja) 向け拡張機能を入手 – |
その名の通りユーザーエージェントを簡単に変更することができるアドオン
Wappalyzer
Firefox 向け Wappalyzer をダウンロード。Identify technologies on websites Wappalyzer – ? Firefox (ja) 向け拡張機能を入手 – |
Webサーバーの情報やJavaScriptの情報を確認することができるアドオン
プロキシ設定&OWASP ZAPの証明書を読み込む
まずはプロキシの設定をします.
Firefoxの設定から一般->ネットワークプロキシ->接続設定を押してください.
手動でプロキシを設定するを選択しHTTPプロキシに127.0.0.1を,ポートには8080を入力してください.
また,すべてのプロトコルでこのプロキシを使用するにチェックをし,OKを押してください.
つぎはOWASP ZAP側で操作を行います.
OWASP ZAPを起動してください.
画面の左上にあるZAPからPreferencesを選択してください.
ダイナミックSSL証明書->保存を押してください.
ここで生成されたものは他人に漏らさないよう厳重に保管してください.
では次にFirefoxの方で証明書を読み込む設定をしていきます.
また,設定からプライバシーとセキュリティ->証明書を表示を選択してください.
開いたら読み込むを選び,先程作成した証明書を選択してください.
この認証局によるウェブサイトの識別を信頼するにチェックをつけ,OKしてください.
※プロキシの設定をしているのでOWASP ZAPを起動してないとネット繋がりません
さいごに
今回はOWASP ZAPの追加の設定とFirefoxの設定をしました.
次はせっかくOWASP ZAPの設定をしたのでWebアプリケーションに使ってみたいなと思います.