脆弱性診断ツール「OWASP ZAP」は、脆弱性だらけのWebアプリケーション「EasyBuggy」の脆弱性をどの程度検出できるでしょうか？ 今回は次の基本的な機能で検証してみました。 簡易スキャン：WebアプリケーションのルートのURLを入力すると、OWASP ZAPがその配下をクロールして脆弱性があるか診断する。 静的スキャン：ブラウザ上でWebアプリケーションの基本的な機能を一通り手作業で動かすと、OWASP ZAPがレスポンスの内容などを検査する。 動的スキャン：静的スキャンで行った操作を、OWASP ZAPがリクエストパラメータを変えるなどして再実行し、診断する。 なお、検証で行った作業内容もこのページ載せていますので、OWASP ZAPを試してみたい方は参考にしてみて下さい。 はじめに OWASP ZAPとは その前にOWASP ZAPについて簡単に説明しておきます。「OWAS

Webクローリング、またはWebデータ抽出とも呼ばれるWebスクレイピングは、単にWebサイトからデータを収集してローカルデータベースまたはスプレッドシートに保存するプロセスです。Webスクレイピングを初心者が聞いたら、遠ざけていく専門用語だと思われるかもしれないですが、実は思っている以上、簡単にできるものです。スクレイピングは、ニュースメディアや求人情報だけでなく、マーケティング、金融やEコマース、および数多くの他業界でも役割を果たしています。 Webスクレイピングと言えば、多くの人は「プログラミング」を思い浮かべるのではないでしょうか。確かに、Webスクレイピングツールというものが出る前に、PythonやRubyなどのプログラミングスキルが必要です。今では誰でも簡単にスクレイピングできる時代ですね。 Webスクレイピングツールはさまざまありますが、どれが一番なのかという疑問がある人もた