OWASP ZAPでWordPressサイトをセキュリティ診断してみる
OWASP ZAPというセキュリティ診断ツールがあることを知ったので、試しに使ってみたときの覚書。
クライアント環境: Windows 10 64bit, OWASP ZAP 2.7.0
サーバー環境: CentOS 7.6, nginx 1.14.2, WordPress 5.1.1
OWASP(Open Web Application Security Project)はNPOの世界的オープンソース・ソフトウェアコミュニティ。
参考サイト
「Cross Platform Package」は要Java実行環境。
フォントが小さいのが気になる場合は、Java 9以上をインストールするかexeファイルのプロパティを設定すれば直るらしい。
ZAP doesn't play nice with high-DPI displays · Issue #3689 · zaproxy/zaproxy
Report → Generate HTML Report
で読みやすいHTML形式で出力してくれる。
自社ホームページで実行したら
Mediumが2件
Lowが4件
結構自信があったので、Mediumが2件もあったのが意外。
解決策も記載されているので、とても勉強になる。
自社運営のWordPressサイトで実行したら2時間弱かかった(他の作業をしながら)。
本番環境で実行するときは大量のアクセスログとそれなりの負荷がかかるので、時間帯は考えた方が良さそう。
興味本位で他のサイトで実行するとブラックリストに登録される可能性があるので注意。
【関連記事】
クライアント環境: Windows 10 64bit, OWASP ZAP 2.7.0
サーバー環境: CentOS 7.6, nginx 1.14.2, WordPress 5.1.1
OWASP ZAPとは
OWASP ZAP(The OWASP Zed Attack Proxy)はOWASP財団が無料で公開しているセキュリティ診断ツール。OWASP(Open Web Application Security Project)はNPOの世界的オープンソース・ソフトウェアコミュニティ。
参考サイト
Windowsにインストール
下記からダウンロードしてインストール実行するだけ。「Cross Platform Package」は要Java実行環境。
フォントが小さいのが気になる場合は、Java 9以上をインストールするかexeファイルのプロパティを設定すれば直るらしい。
ZAP doesn't play nice with high-DPI displays · Issue #3689 · zaproxy/zaproxy
セキュリティ診断実行
Quick Startタブに対象のサイトのURLを入力して実行するだけ。Report → Generate HTML Report
で読みやすいHTML形式で出力してくれる。
自社ホームページで実行したら
Mediumが2件
Lowが4件
結構自信があったので、Mediumが2件もあったのが意外。
解決策も記載されているので、とても勉強になる。
自社運営のWordPressサイトで実行したら2時間弱かかった(他の作業をしながら)。
本番環境で実行するときは大量のアクセスログとそれなりの負荷がかかるので、時間帯は考えた方が良さそう。
興味本位で他のサイトで実行するとブラックリストに登録される可能性があるので注意。
【関連記事】