OWASP Zed Attack Proxy 2.3.1 のインストールと機能

OWASP Zed Attack Proxy(略称ZAP)は、Webアプリケーションの脆弱性を診断するペネトレーションテストツールです。

ZAPが稼動する端末はマルチプラットフォーム対応がされており、Linux/Windows/Macに対応しています。また、多言語対応もされており、日本語も含まれています。

2014/05/21 に Version 2.3.1 が公開されています。ここでは、ZAPのインストールと機能を簡易ではありますが記載しています。 Continue reading

Zed Attack Proxy (ZAP) バージョンアップ(2.2.2)とモード選択

久しぶりに、OWASP Zed Attack Proxy (ZAP) を確認してみると、バージョンが「2.2.2」にアップしていました。前回確認時は「2.0.0」だったので、結構更新された感があります。

簡単ではありますが、Mode(モード)選択について記載します。

脆弱性診断ツール ZAP にも記載しておりますので、合わせて参照いただければと思います。

※ ご自身が管理しているサイト以外での実行は絶対に避けるよう、お願いいたします。

モード

ZAP のユーザーインターフェースの Top Level Toolbar では、Mode(モード)が選択できます。

  • Safe mode
  • Protected mode
  • Standard mode

ZAP の説明では、Protected mode の利用が推奨されています。Safe mode で良いケースも多いと思います。

zap-mode

Standard mode は危険なので、自身が管理しているサイト、かつ、壊れてもよい自身の検証サイトでのみ使う形になるのかなと思います。デフォルト選択が Standard mode になっているみたいなので注意してください。