4tify-shield-icons-security

WEBサーバのセキュリティチェック(OWASP ZAP)

WEBサーバのチェックツールとしてOWASP ZAPを利用してみる。

OWASP ZAPを起動して
クイックスタート > 攻撃対象URLを入力 > 攻撃
で通常のHTTPアクセスサイトならスキャンが始まる。

今回はWEBDAVサーバについてチェックもしてみた。
セキュリティ上、WEBDAVサーバにはHTTPS/BASIC認証によるアクセス認証を設けている。

OWASP ZAPのツール>オプションから
ローカル・プロキシの設定を確認。
Address: localhost
ポート: 8080
となっていることを確認する。

IEなりChromeなりからプロキシ設定をいじる。
“LANにプロキシサーバを使用する…”にチェックを入れ
プロキシサーバにlocalhost、ポートに8080を設定。

Tomcatなどポートが重複している場合はOWASP ZAPのポートを変更する。

ブラウザからアクセスするとOWASP ZAPの履歴にログが表示されると共に
サイトが登録される。

登録されたサイトを右クリックして攻撃 > 動的スキャンを選択。
必要な項目にチェックを入れる。
総当たり攻撃を想定して、URL PathやHTTP Headersにもチェックを入れる、などする。

スキャンを開始する。

OWASP ZAPの動的スキャンの履歴や
apache側のログ(ssl_access_log, ssl_error_log)などを確認しながら
セキュリティに漏れがないかのチェックを行う。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です