OWASP Zed Attack Proxy 2.3.1 のインストールと機能

OWASP Zed Attack Proxy(略称ZAP)は、Webアプリケーションの脆弱性を診断するペネトレーションテストツールです。


2014/05/21 に Version 2.3.1 が公開されています。ここでは、ZAPのインストールと機能を簡易ではありますが記載しています。 Continue reading

Zed Attack Proxy (ZAP) バージョンアップ(2.2.2)とモード選択

久しぶりに、OWASP Zed Attack Proxy (ZAP) を確認してみると、バージョンが「2.2.2」にアップしていました。前回確認時は「2.0.0」だったので、結構更新された感があります。


脆弱性診断ツール ZAP にも記載しておりますので、合わせて参照いただければと思います。

※ ご自身が管理しているサイト以外での実行は絶対に避けるよう、お願いいたします。


ZAP のユーザーインターフェースの Top Level Toolbar では、Mode(モード)が選択できます。

  • Safe mode
  • Protected mode
  • Standard mode

ZAP の説明では、Protected mode の利用が推奨されています。Safe mode で良いケースも多いと思います。


Standard mode は危険なので、自身が管理しているサイト、かつ、壊れてもよい自身の検証サイトでのみ使う形になるのかなと思います。デフォルト選択が Standard mode になっているみたいなので注意してください。

ClickJacking 対策

OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。

アラート X-Frame-Options header not set
Risk Informational
Reliablity Warning
Description X-Frame-Options header is not included in the HTTP response to protect against ‘ClickJacking’ attacks
Solution Most modern Web browsers support the X-Frame-Options HTTP header, ensure it’s set on all web pages returned by your site (if you expect the page to be framed only by pages on your server (e.g. it’s part of a FRAMESET) then you’ll want to use SAMEORIGIN, otherwise if you never expect the page to be framed, you should use DENY.
Reference http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx?Redirected=true

Continue reading

X-Content-Type-Options 「nosniff」 対策

OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。

アラート X-Content-Type-Options header missing
Risk Low
Reliability Warning
Description The Anti-MIME-Sniffing header X-Content-Type-Options was not set to ‘nosniff’
Solution This check is specific to Internet Explorer 8 and Google Chrome. Ensure each page sets a Content-Type header and the X-CONTENT-TYPE-OPTIONS if the Content-Type header is unknown

リスクは「Low」らしいが、かなりの数で検出されてしまい煩わしいので対策を行う事にした。 Continue reading