WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 12月から業務として脆弱性診断を毎日やっており、診断にはOWASP ZAPとFiddlerを利用しているのですが、ほぼ一月使ってみてZAPの使い方や便利さが分かってきたので、自分の把握したZAPの使い方をシェアすることにします。 はじめに・診断対象サイトについての注意OWASP ZAPでの診断は自分の管理下にあるサイトか、診断許可をもらっているサイトに対してのみ行ってください。(アクセス数によっては途中のインフラにも気をつける必要があります) 許可をもらっていないサーバへZAPの診断を走らせるのは、不正アクセスと解釈さ
![OWASP ZAPの基本的な使い方(手動診断編)](https://cdn-ak-scissors.b.st-hatena.com/image/square/0587380e9599110f4c6bcda71d98e555ff753596/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEjYtKVkL6vHOXuuVixPCU3VClkfHuwswZrPGNmTNjVaRieh3T-rz0DwzGXBpdqGQX2mRZ8i9m8X44lpTxR7y7Bp76RZEQ2bBjZwSNJsy_CoWydiJzQRucezZzey1bivzEx2Mf0Tf1629Kge%2Fw1200-h630-p-k-no-nu%2Fzap2.png)