Webアプリケーションの脆弱性を見つけるペネトレーション試験ツール「OWASP Zed Attack Proxy(ZAP)」が、メジャーバージョン2.0.0 にアップしていたので、 変更点や利用感を紹介します。
脆弱性診断ツール ZAP にも記載しておりますので、合わせて参照いただければと思います。
メジャーバージョンアップ
今回のメジャーバージョンアップにあたり、多くの変更点があります。
New features として、以下がピックアップされています。
- An integrated add-ons marketplace
- A replacement for the ‘standard’ Spider
- A new ‘Ajax’ spider
- Web Socket support
- Quick Start tab
- Session awareness
- User defined Contexts
- Session scope
- Different modes
- A scripting console
- Authentication handling
- More API support
- Fine grained scanning controls
- New and improved active and passive scanning rules
- Many stability and usability fixes
インパクトのある新しい機能が増えたなあ、という印象です。
これらの中でも、一番最初に挙げられている「An integrated add-ons marketplace」についてご紹介します。
Add-ons
ZAPへの新しい機能をアドオンできる仕組みです。
ZAPへ追加したい機能があればアドオンとして開発する事が出来ます。マーケットプレイスも用意されており、マーケットプレイスに用意されているアドオンを簡単に導入する事ができます。
デフォルトで適用されているアドオンは以下の5個でした。
- Active Scanner rules
- Ajax Spider
- Passive scanner rules
- Quick Start
- WebSockets
Marketplace には、計14個ありますが、ステータスが「Release」になっているものは1個だけで、あとは「Beta」「Alpha」というステータスです。これから「Release」が増えていく事が期待されます。
Add-on の仕組みだけではなく、ZAP自体も今後期待が持てるツールだと思います。Webアプリの脆弱性診断を行いたい場合は、高価なツールが必要になっていた市場に対して、新しい選択肢になるツールだと思います。
今後も引き続きウォッチしていきたいと思います。