OWASP Zed Attack Proxy

OWASP Zed Attack Proxy(ZAP, zaproxy) とは、OWASPが提供しているオープンソースの脆弱性診断検査ツールです。

読み方

OWASP Zed Attack Proxy

おわすぷ ぜっど あたっく ぷろきし

ZAP

ざっぷ

zaproxy

ざっぷろきし

概要

Zed Attack Proxy(ZAP)は、Webアプリケーションの脆弱性の発見のために簡単に使える統合型ペネトレーションテストツールです。

ZAPの特徴

• Java
• Paros をベースに開発されました。
• アドオンで機能追加できます。

用語

コンテキスト

• 複数のURLをまとめたもの

スコープ

• その時点で、処理する対象とするアプリケーションのセット

機能

モード

Safe mode

危険な操作ができなくなります。

Protected mode

スコープで定義されたURLに対してのみ、危険な操作ができます。

Standard mode

標準モードです。

ATTACK mode

バックグラウンド実行で、新しいページを検出し、スキャン対象であれば、アクティブスキャンを実行します。

OS

Windows, Linux, Mac OS X で利用できます。

インストール

Kali Linuxでは、デフォルトでインストールされています。 下記サイトからダウンロードできます。

• https://sourceforge.net/projects/zaproxy/files/
• https://code.google.com/p/zaproxy/wiki/Downloads?tm=2

ソースコード

google code の終了に伴って、githubへ移行される見込みです。

• https://github.com/OWASP/ZAP
• https://code.google.com/p/zaproxy/

使い方

ターミナルで zaproxy コマンドを実行すれば、アプリケーションが起動します。

$ zaproxy

関連項目

• Kali Linux
• ペネトレーションテスト