基本的なペネトレーションテスト
基本的なペネトレーションテストは、以下の手順によって再現されます。
巡回
アプリケーションによって提供される全ての機能をブラウザで巡回してください。
巡回の際は、全てのリンクに沿う、全てのボタンを押す、全てのフォームの入力項目を埋めて送信するようにしてください。
アプリケーションが複数の機能をサポートしている場合は、それぞれの機能に対して、その機能を実行してください。
各機能の巡回記録を異なるファイルのZAPセッションで保存し、次の機能を巡回する前に新しいセッションから始めてください。
スパイダー
次の
スパイダー
を使用し、あなたが見過ごしたかもしくは隠されていたURLを検出してください。またAjaxスパイダーアドオンを使用して、結果を改善し動的に生成されたリンクを巡回することもできます。
検出されたリンクは巡回しましょう。
強制ブラウズ
強制ブラウズスキャナを使用し、参照されていないファイルやディレクトリを検出してください。(強制ブラウズアドオンが必要です)
動的スキャン
次の
動的スキャナ
を使用し、基本的な脆弱性を検出してください。
手動テスト
上記の手順は、基本的な脆弱性を見つけます。
しかしながら、より多くの脆弱性を見つけるには手動でアプリケーションをテストする必要があります。
詳細について OWASP テスト ガイドを参照してください。
ZAPユーザーガイドの将来のバージョンでは、ZAPを使用して、この手動テストを支援する方法について説明します。
関連情報
はじめに
ZAPの使用開始方法の詳細について
導入
ZAPのご紹介
外部リンク *
http://www.owasp.org/index.php/Category:OWASP_Testing_Project
OWASP テスト ガイド