Pocket

Zed Attack Proxy (ZAP) バージョンアップ(2.0.0)

  • add this entry to hatena bookmark

Webアプリケーションの脆弱性を見つけるペネトレーション試験ツール「OWASP Zed Attack Proxy(ZAP)」が、メジャーバージョン2.0.0 にアップしていたので、 変更点や利用感を紹介します。

脆弱性診断ツール ZAP にも記載しておりますので、合わせて参照いただければと思います。

メジャーバージョンアップ

今回のメジャーバージョンアップにあたり、多くの変更点があります。

New features として、以下がピックアップされています。

  • An integrated add-ons marketplace
  • A replacement for the ‘standard’ Spider
  • A new ‘Ajax’ spider
  • Web Socket support
  • Quick Start tab
  • Session awareness
  • User defined Contexts
  • Session scope
  • Different modes
  • A scripting console
  • Authentication handling
  • More API support
  • Fine grained scanning controls
  • New and improved active and passive scanning rules
  • Many stability and usability fixes

インパクトのある新しい機能が増えたなあ、という印象です。

これらの中でも、一番最初に挙げられている「An integrated add-ons marketplace」についてご紹介します。

Add-ons

ZAPへの新しい機能をアドオンできる仕組みです。

ZAPへ追加したい機能があればアドオンとして開発する事が出来ます。マーケットプレイスも用意されており、マーケットプレイスに用意されているアドオンを簡単に導入する事ができます。

デフォルトで適用されているアドオンは以下の5個でした。

ZAP Add-ons Default

  • Active Scanner rules
  • Ajax Spider
  • Passive scanner rules
  • Quick Start
  • WebSockets

Marketplace には、計14個ありますが、ステータスが「Release」になっているものは1個だけで、あとは「Beta」「Alpha」というステータスです。これから「Release」が増えていく事が期待されます。

ZAP Add-ons Marketplace

Add-on の仕組みだけではなく、ZAP自体も今後期待が持てるツールだと思います。Webアプリの脆弱性診断を行いたい場合は、高価なツールが必要になっていた市場に対して、新しい選択肢になるツールだと思います。

今後も引き続きウォッチしていきたいと思います。

読者登録はいかがでしょうか?RSS配信中です。

Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*

チェックサイト RSS Feed読者登録はいかがでしょうか?RSS配信中です。