皆さんは、WEBサイト(Webアプリケーション)の開発時、脆弱性診断はどのようにされているでしょうか?
専門業者に脆弱性診断を依頼すると、すごく費用が掛かるし、
自社でやるにしても、時間が掛かる上、専門家ではないので、完璧には出来ないし、
となってしまいそうですね。
実際、弊社でも作成したサイトの脆弱性診断については、課題の一つです。
そんな場合におすすめしたいツールの一つが、OWASP ZAPという脆弱性診断ツールです。
インストール方法
OWASP ZAPを利用するには、Java 8以上が必要になります。
Javaが問題なくインストールされていれば、あとは、OWASP ZAPを自分が使っているPC(パソコン)にインストールするだけです。
Javaのインストール
Javaが、自分のPCにインストールされていない、または、バージョンが古い場合には、
最新のJDK(Java SE Development Kit)をダウンロードして、インストールしてください。
【インストール方法】
JDK(Java SE Development Kit)をダウンロード へアクセス
↓
「Java SE 11.0.1(LTS)」をクリック
※現時点では「11.0.1」が最新ですが、都度更新されていくので、最新のJava SEを選択して下さい。
↓
それぞれ、ご自分の環境に合ったものを選択して、ダウンロードして下さい。
私のPCは、Windows 64ビット版になるので、Windows版のインストーラ(windows-x64_bin.exe)を選択します。
※「Accept License Agreement」にチェックを入れてから、ダウンロードを行ってください。
↓
ダウンロードが完了したら、そのファイルをクリックしてインストールを行って下さい。
↓
しばらく待つとインストールが完了するので、これで、OWASP ZAPをインストールする準備が整いました。
OWASP ZAPのインストール
まず、OWASP ZAPをGitHubよりダウンロードします。
OWASP ZAPをダウンロード
↓
私のPCは、Windows 64ビット版になるので、Windows (64) Installerを選択します。
↓
ダウンロードが完了したら、そのファイルをクリックしてインストールを行って下さい。
↓
しばらく待つとインストールが完了します。
無事にインストールが完了すれば、
デスクトップに白い稲妻のようなマークが入った青いアイコンが作成されていると思います。
脆弱性診断を実施
デスクトップに作成されたアイコンをクリックして、OWASP ZAPを立ち上げて下さい。
↓
こんな小さい画面が立ち上がると思います。
ここは、取りあえず、一番上の「現在のタイムスタンプでファイル名を付けてセッションを保存」を選択して、右下の「開始」をクリックして下さい。
↓
以下の様な画面が立ち上がります。
「攻撃対象 URL」に、診断を行いたいページのURLを入力して、「攻撃」をクリックして下さい。
これで診断が開始されます。
今回は、試しに、5、6年前に組んだ弊社所有の某サイトのお問合せフォームを診断してみます。
※プログラムの規模にもよりますが、しばらく時間が掛かるので、終了するまで待ちます。
↓
で、診断結果がこちらです。
診断結果は、画面左下の枠に表示されます。
見事なまでに、いろいろ出ていますね。
詳細を知りたい場合には、該当のアラートをクリックしてみて下さい。
右側の枠に詳細が表示されます。
試しに、分かりやすいところで、「CookieのHttpOnly属性が未設定」を選択してみます。
Cookie(クッキー)にHTTPOnly属性を設定しろ!と言っていることが分かりますね。
CookieにHTTPOnly属性を設定してないと、JavaScriptからCookieへのアクセスが可能になってしまうので、
どうしてもJavaScriptからCookieを参照する必要がある場合を除いては、HTTPOnly属性を設定しておいた方が安全です。
それにより、XSS(クロスサイトスクリプティング)など攻撃を防いでくれます。
このような感じで、検出された脆弱性をつぶしていけば、
より安全なアプリケーションに仕上がってくので、興味のある方は、一度「OWASP ZAP」を試してみてはいかがでしょうか!
