脆弱性確認などを行うにあたっていくつかある検証ツールのうち、owasp zapを使ってみることにした。
複数人で作業できるように、ローカル環境ではなく、クラウドに立てる。
まず、EC2インスタンスを設置(セッションマネージャーを使えるようにしておく)
EC2インスタンスにセッションマネージャーで接続する。
最新にする
$ sudo yum update -y
dockerをインストール
$ sudo amazon-linux-extras install docker
dockerをスタートさせる
$ sudo service docker start
dockerをec2-userでも使えるように
$ sudo usermod -a -G docker ec2-user
owasp zapを起動する。このときイメージに「owasp/zap2docker-stable」を、コマンドに「zap-webswing.sh」を指定
$ docker run -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-stable zap-webswing.sh
立ち上がったかを確認
$ docker ps
なんか出てくればOK
再起動が必要な場合はこちら。
docker restart [docker_name]
URLにアクセスして、このような画面が立ち上がればOK!
http://[EC2のIPアドレス]:8080/zap
テスト対象はローカル環境や自分が管理するシステムにすることに注意してください。クラウドの場合はその管理会社にあらかじめ申請が必要な場合もあるので確認が必要。
管理外のものに対して実行してしまうと不正アクセスで起訴されちゃう可能性もある怖いツールなので取り扱いは要注意。