※当ブログではアフィリエイト広告を利用しています。 ペネトレーションテストツール「OWASP ZAP」でWEBサイトの脆弱性を簡易チェックする方法は以前、エントリにまとめましたが、フォームで入力チェックを行っている場合などはその方法では脆弱性を検知できないことがあります。 そのような場合でも「OWASP ZAP」をプロキシとして使用し、リクエストを再現すれば脆弱性を検知できるため、その方法をまとめます。 OWASP ZAPの簡易チェック（Quick Start）で脆弱性が発見できないのはどんな場合？ 以前のエントリで紹介した方法では、指定したURLにOWASP ZAPが自動的にスキャンをかけて脆弱性をチェックしました。 しかしお問い合わせフォームなどでプログラムの先頭のほうで値の入力チェックを行う場合などは入力チェックエラー等で処理が途中で終わることがあります。このような場合、本来脆弱性が

※当ブログではアフィリエイト広告を利用しています。 ひょんなことからWEBサイトの脆弱性をチェックする機会がありました。 オープンソースの脆弱性チェックツール「OWASP ZAP」でWEBサイトの脆弱性を簡単にチェックしてみたため、その方法をまとめてみます。 1.OWASP ZAPとは？ OWASP(Open Web Application Security Project)が提供している、WEBサイトの脆弱性を診断するためのぺネトレーションテストツールです。オープンソースで、無料で使用できます。 診断可能な脆弱性の代表的な例 クロスサイトスクリプティング(反射型) SQLインジェクション CRLF インジェクション パラメータタンパリング パストラバーサル 2.OWASP ZAPのインストール(Windows) 2-1.下記ページ中央の「Download ZAP」より、ダウンロードページ