2019年07月08日

OWASP ZAPって脆弱性診断で使われるツールがあるんだって

脆弱性診断スタートガイド・上野宣 翔泳社 2016 著者略歴に写真が載ってら(笑)

前半は基礎的な話、後半は実習とかでOWASP ZAPをインストールする。練習用の細工したサイトはisoをDVDに焼いてどーたらこーたら、仮想環境でどーたらこーたらと書いてあるので勉強になるぞ・・・・多分。
だが2016年の本なのでバージョン違うし、その本はMACでの処理なのでありワタクシはMACは大嫌い、ジョブズが昔から好きではないが共通項としてハゲがあるので故人となったジョブズに負けず丸坊主にした(笑)
で、サイト検索するとOWASP ZAPの紹介記事がいくつか出てきたのでそこを読む。そして、初めにFirefoxのプロキシ設定とかがあったのでサイト記事のように設定した。

Firefoxのツール/オプション、ネットワーク設定の詳細設定で。
image

するとですね、つながらないWebサイトが出てきたのですわ。

つながるサイト スポーツ報知、日刊スポーツ、MSN Japan、読売、…
つながらないサイト  Yahoo!Japan, TVer, Radiko, 西東京市図書館、、、、他多数 プギャー!!

  プロキシサーバーへの接続を拒否されましたと出て。

さて、問題です。プロキシとは何でしょうか。そして、上のようにFirefoxで設定したら接続するサイトと接続しないサイトが出ました。これはいったいどういうこと? 

浅学非才!!  不勉強が身に染みる(´・ω・`)

というわけで趣味がネットサーフィンではなく、Googling。
GoogleでGoogling, I’m googling. グルグルパー

  その後、わかったこと。
Firefoxでお気に入りからYahoo!!をクリックするとURL欄に、
iマーク www.yahoo.co.jp と出た。そこに、手動で、https://をアタマにつけるとつながるのであった。つまり、何かがおかしい。だから、それはなによ?
そもそも、本来が、https://www.yahoo.co.jp なのだよ。それをFirefoxがhttp://www.yahoo.co.jpに書き換えているではないか、それはなんで?
 
  とにかく、https://をhttp://に書き換えられてしまっている。そして、その場合にはつながらない。
だれが何のために書き換える? 

ワケワカメなので戻して(´・ω・`)

  そして、コーヒー飲んで気合いれて再開。
上の場合はポート8080が競合しているのでつながるサイトとつながらないサイトがあるのだろ。。。ってテキトーに解釈してポートを12345にしてみた。OWASP側もそうした。
するとFirefoxが使えなくなった。つぎのような画面が出た次第である。
image

>>この問題はあなたのコンピューターかネットワークにある OWASP Zed Attack Proxy Root >>CA が原因です。
   なんだよ、それはよ。上の本ではそんなこと何の説明もなかったぞ!!

https://tamomoru.com/dev_blog/article/27

  ここの真似してOK。SSL化のために何かするである。証明書とかさ。
    
  OKだと思ったのは勘違いでして。つながるサイトとつながらないサイトがあるうえに、画面に何かがかさなっている・・・OWASPの機能が常駐した感じだが、ワケワカメなのでいったん中止。

posted by toinohni at 09:11
"OWASP ZAPって脆弱性診断で使われるツールがあるんだって"へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: