以前、OWASP ZAP に追加された attack mode の概要 というエントリを書きましたが、このATTACK modeを使った簡単なセキュリティ検査の手順をメモしておきます。この機能を使えば、ウェブアプリケーションの開発中にZAPが勝手に脆弱性スキャンしてくれます。 ※ この機能が追加される バージョン 2.4 はまだリリースされていないのですが、こちら から ZAP Weekly をダウンロードすれば試すことができます。 概要基本的には、ウェブアプリケーション開発時にウェブブラウザのプロキシとして ZAP を指定おくだけです。この時、ZAP 側で コンテキストというものを設定して、ATTACK mode にしておけば、アクセスしたURLに対して勝手に脆弱性をスキャンしてくれます。 ATTACK mode についてOWASP ZAP に追加された attack mode の概要
![ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法](https://cdn-ak-scissors.b.st-hatena.com/image/square/fc19a67777d3c2e3fc50d61951c85f0d68195d11/height=288;version=1;width=512/https%3A%2F%2Fwww.pupha.net%2Fwp-content%2Fuploads%2F2014%2F11%2Fzap512x512.png)