Webアプリケーションの脆弱性診断ツールのOWASP ZAPについての情報を掲載しています。Basic認証突破など使い方をまとめています。 ▲記事トップへ 目次 記事の目次です。 1. OWASP ZAPとは? 2. OWASP ZAPの使い方(ガイダンス編) 2.0. OWASP ZAPのダウンロードとインストール 2.1. OWASP ZAPの診断項目 2.2. 動的スキャンと静的スキャン機能 3. OWASP ZAPの使い方(気になる操作編) 3.1. BASIC認証を突破する方法 3.2. SOCKSを使用して踏み台サーバ経由でZAPからのクエリを送信する方法 4. OWASP ZAPのソース取得 更新履歴 1. OWASP ZAPとは? OWASPが提供している、Webサイトの脆弱性を診断するためのぺネトレーションテストツールです。 オープンソースで、無料で使用できます。 OWA
OWASP Zed Attack Proxy (ZAP)の使い方の例をいくつかメモします。各操作の細かい説明は別の記事で書くかもしれません。 ※ 本記事で使用するOWASP ZAPのバージョンは、2.2.2です。 使い方1:ローカル・プロキシとしてブラウザの通信内容をチェックするOWASP ZAPをローカルのプロキシとして使用し、ブラウザの通信をOWASP ZAP経由で行います。その後、記録された通信内容を確認する、といった使い方です。 OWASP ZAPを起動します。ブラウザを起動します。ブラウザのプロキシ設定で、OWASP ZAPの動作するホストとポート番号をセットします。ブラウザ上で診断の対象となるWebサイトにアクセスします。目的のページで目的の動作を行います。OWASP ZAPの[サイト]タブで、目的のリクエスト(URL)をクリックし、[リクエスト]タブや[レスポンス]タブで通信
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く