OWASP ZAPでWordPressサイトをセキュリティ診断してみる

OWASP ZAPというセキュリティ診断ツールがあることを知ったので、試しに使ってみたときの覚書。

クライアント環境: Windows 10 64bit, OWASP ZAP 2.7.0
サーバー環境: CentOS 7.6, nginx 1.14.2, WordPress 5.1.1


OWASP ZAPとは

OWASP ZAP(The OWASP Zed Attack Proxy)はOWASP財団が無料で公開しているセキュリティ診断ツール。
OWASP(Open Web Application Security Project)はNPOの世界的オープンソース・ソフトウェアコミュニティ。

参考サイト



Windowsにインストール

下記からダウンロードしてインストール実行するだけ。
「Cross Platform Package」は要Java実行環境。




フォントが小さいのが気になる場合は、Java 9以上をインストールするかexeファイルのプロパティを設定すれば直るらしい。
ZAP doesn't play nice with high-DPI displays · Issue #3689 · zaproxy/zaproxy


セキュリティ診断実行

Quick Startタブに対象のサイトのURLを入力して実行するだけ。
Report → Generate HTML Report
で読みやすいHTML形式で出力してくれる。

自社ホームページで実行したら
Mediumが2件
Lowが4件

結構自信があったので、Mediumが2件もあったのが意外。
解決策も記載されているので、とても勉強になる。

自社運営のWordPressサイトで実行したら2時間弱かかった(他の作業をしながら)。

本番環境で実行するときは大量のアクセスログとそれなりの負荷がかかるので、時間帯は考えた方が良さそう。

興味本位で他のサイトで実行するとブラックリストに登録される可能性があるので注意。



【関連記事】

コメント

このブログの人気の投稿

オンサイトサポートとは(=出張サポート)

スタートアップで起動するアプリを停止する方法

既存のディレクトリ(フォルダ)にgit cloneして上書きしたい