スキャンの詳細について
OWASP ZAPをセットアップして、スキャンの実行までは出来た。
実際、どんなスキャンが実施されているのか。
スキャンの結果から、以下のようなアラートが上がる。
アラートが上がれば、そのリクエストの内容も確認できて、脆弱性があることが分かるが、それ以外にどんなことをしたのか。
こちらにアラートの一覧の記載があった。
OWASP ZAPにリンクを貼ってくれても良さそうなものですが、合計で160種類のアラートがあがり、スキャン方法によって対象が異なる。
- 78:パッシブスキャン
- 74:アクティブスキャン
- 8:WebSocket Passive
アラート表示の「ソース:」に記載された数字がIDのようです。
数字のあとがAlertの名称のようですが、ZAPでは翻訳されています。
Web画面では、IDで絞り込みが可能。
IDまたはAlert名称のリンクをクリックすると詳細が表示される。
CWEやOWASP TOP10などとの関連が把握できる。
しかも、Codeのリンクでは、実際のJavaのコードが見られるので、何をしたのか一目瞭然(プログラムを理解できれば、ですが。。。)。
WASCとは?
「WASC」って、なんだろう?
Web Application Security Consortium という団体があるらしく、Webサイトはこちらで良いのだろうか?HTTPSでもなく、大丈夫なのか?
更なる深みへ
マーケットプレイスから、独自のアドオンを追加できるようです。
それ以外に、
Custom Payloadsで、自分が作成した検査を実装できる
Zest scriptで、操作を記憶させて自動化できる
などなど。
結局は、すべての機能はAdd-onという概念で括られているようです。
Desktop User Guideを見ると、Add-onsの下にアクティブスキャンルールがあり、詳細が記載されている。
Add-onの開発方法などは以下から。
OWASP ZAPがプラットフォームとして機能して、様々なAdd-onが善意で開発されていると思うと、頭が下がる思いです。