OWASP ZAP - Zed Attack Proxy

OWASP ZAPの概要

OWASP ZAPは、オープンソースの脆弱性診断ツールです。AppSec専門家が既知および未知のサイバー脅威を正確に見つけるのに役立ちます。主にウェブアプリ向けに使用され、幅広い機能により多様な脅威を迅速に検出できます。これらの機能には以下が含まれます：

• ウェブリクエストの受動スキャンを行う
• 辞書リストを用い、サーバー側のファイルやフォルダを検査する
• 高度なクローラーでサイト構造を把握し、不審なリンクやURLを全て取得する
• ウェブアプリとブラウザ間で交わされるリクエストを完全に制御する

これらの機能により、OWASP ZAPはXSS、認証の乗っ取り、SQLインジェクション、機密情報の漏洩など、極めて危険なウェブ攻撃を検出するのに適しています。 

‍

ZAPはどのように動作するか?

ZAPの主な機能は、サーバーとブラウザ間で交わされる全てのウェブリクエストを監視・スキャンすることです。これらのリクエストを傍受、解析、検査することで、悪意ある要素を早期に発見し対処します。 

プロキシと非常に似た仕組みで、ZAPは対象アプリとテストツールの仲介役として動作し、リクエストを事前に受け取ります。しかし、従来のプロキシのようにIPアドレスを変えるのではなく、リクエストを解析します。

スキャナーの主要な概念と特徴

OWASP ZAPをダウンロードする前に、本ツールが提供する主要な概念と機能について理解を深めることをおすすめします。以下のポイントが理解の助けとなります。

• アクティブとパッシブスキャン

ZAPは、迅速な脆弱性検出のため、これら2種類のスキャンを継続的に実施します。 

アクティブ: このスキャンは、あらかじめ定義された脅威リストを用い、既知の脆弱性に基づいてウェブリクエストを検査します。ただし、アプリの論理に起因するリスクは見逃される可能性があります。

パッシブ: ZAPは、基本的な脅威を検出するため、HTTPSリクエストを自動的にスキャンするシンプルな方法を採用し、リクエスト自体に変更は加えません。

• OWASP ZAP Fuzzer

大規模なセキュリティテストを行うために、高度なOWASP ZAP Fuzzerが搭載され、大量データに対するファジングを実施します。内蔵ペイロードの利用やカスタマイズも可能です。

• OWASP ZAP API

APIテストを強化するため、HTML、XML、JSONなど主要なAPI形式に対応した高度なOWASP ZAP API機能を提供します。初期設定ではZAPを動作させているマシンのみが許可されますが、設定ファイルを用いることで任意のAPIの接続を許可できます。

• WebSocket Testing

ZAPは幅広いWebSocketテストを実施でき、サーバーとクライアント間で交わされるWebSocketトラフィックを自動的に解析・傍受します。

• JAX Spidering

ZAPはセキュリティツールとして、従来のスパイダーソフトで検出できないAJAXベースのウェブアプリリクエストに対しJAX Spideringテストを実行します。

AJAXリクエストの検出とともに、クロール状態、最大クロール深度、最大時間など複数の設定が可能です。

• スキャンポリシー管理

ZAPを利用すると、セキュリティ目標に合わせたサイバーセキュリティスキャン用のポリシーを策定できます。スキャンポリシーマネージャーツールは高いカスタマイズ性を持ち、ペンテスターは特定のアプリ向けにスキャンパラメータを最適化することができます。

スキャンポリシーでは、どのアプリや対象に対してどのテストを実施するか定義でき、StrengthやThresholdなどのパラメータも設定可能です。作成したポリシーはテンプレートとしてエクスポートでき、再利用性が向上します。

• ZAP Marketplace

OWASP ZAPは、あらゆるウェブおよびAPIセキュリティのニーズに応えるため、数多くのオープンソースプラグインやアドオンを提供するデジタル製品リポジトリを備えています。 

これらのアドオンは熟練のZAPチームによって開発されており、どれも注目に値します。マーケットプレイスからお好みのアドオンを選択してください。‍

OWASP ZAPのインストールと設定

OWASP ZAPは、その効果的な脆弱性診断ツールとして、セキュリティキットに欠かせない存在です。手順は以下の通りです：

1. ステップ - ツールの入手

まず、ZAPの基本要件を満たしているか確認してください。 

OWASP ZAPは、Linux、Windows、macOS、Dockerに対応しています。Docker以外の場合はJava 8以上が必要です。Docker版はJava/JVMなしで動作します。

公式サイトからOWASP ZAPをダウンロードし、使用するインストーラーを選択してください。

ダウンロード完了後、続行するか確認してください。 

続行する場合、セッションはHSQLDBデータベースに記録され、あらかじめ定められた名称が付与されます。中断した場合は、ZAP終了時に一時セッションデータが自動削除されます。 

セッションが継続されると、セッションデータはローカルDBに自動保存され、保存場所や名称を設定できます。セキュリティ上の不備を詳しく把握するため、専門家は後の参照のためセッションファイルの保存を推奨しています。

2. ステップ - UIコンポーネントの把握

ツールの主な要素は以下の通りです：

• メニューバーは、あらかじめ用意された自動および手動ツールへのアクセスを提供する
• 情報ウィンドウは、自動および手動のZAPツールに関する情報を表示する
• ツリーウィンドウは、サイトとスクリプトのツリー構造を示す
• ツールバーから主要なZAP機能へアクセスできる
• ワークスペースウィンドウ（デスクトップUI）により、リクエスト、スクリプト、レスポンスを確認しながら円滑に編集できる
• フッターには、迅速な「アラート概要」と主要ツールの現状が表示される

3. ステップ - 『クイックスタート』機能の利用

スキャンの効率を上げるため、ZAPは追加機能として『クイックスタート』を提供しています。使い方は以下の通りです。

ZAPを起動し、ワークスペースウィンドウを開いて『クイックスタート』をクリックすると、『自動スキャン』のオプションが表示されるので選択してください。

次に、『攻撃対象のURL』オプションを選び、対象ウェブアプリの完全なURLを入力し、『攻撃』を選択してください。

4. ステップ - データの取得

ステップ3で『攻撃』ボタンをクリックすると、スパイダーによるウェブアプリのスキャンが開始されます。アクティブスキャンにより、対象アプリの全ページ、機能、パラメータが検査され、このデータを基に脆弱性を把握できます.

‍

WallarmによるアプリとAPIのセキュリティ

OWASP ZAPは優れたツールですが、いくつかの課題があり、広範なアプリケーションセキュリティにはZAP以上の機能が必要です。そこでWallarmの出番となります。 

この先進的なAPIセキュリティプラットフォームは、独創的なAPIセキュリティおよびWAAPソリューションを提供し、主要なAPIや全てのクラウド基盤に対応します。Wallarmのツールは、即時スキャン、傍受、検出機能により、OWASP Top 10、アカウント乗っ取り、API乱用など多様な脅威を把握します。貴社のAPIセキュリティ防御をより一層強固にするために、本製品の活用を検討してみてください。