OWASP ZAPをローカル・プロキシとして使用するでござる

セキュリティ調査の関連で、OWASP ZAP を触ったのでメモメモ。

ローカル・プロキシとして使用する

ローカル・プロキシとして使うと、ブラウザの通信内容を確認することができる。
POST内容をいじって送信するのにも使える。
とりあえずFirefoxでの設定方法をメモる。
※ブラウザによって設定方法が異なるので、その他、IEやChromeの設定方法はツール内ユーザガイドの「Index」→「Configuring Proxies」を参考に

１）「ツール」→「オプション」→「詳細」→「ネットワーク」タブ→「接続設定」を選択

２）「手動でプロキシを設定する」を選択し、HTTPプロキシを「localhost」、ポートを「8080」に設定
※事前にZAPのオプション内ローカル・プロキシでホストとポートを確認しておく(デフォでこうなってるハズだけど)

証明書の追加

ローカル・プロキシとして使用する場合、任意で証明書を追加することができる。これもブラウザによって設定方法が異なる。

１）「ツール」→「オプション」→「ダイナミックSSL証明書」を選択

２）[保存]を押下し、任意のフォルダにセキュリティ証明書を保存

３）「ツール」→「オプション」→「詳細」→「証明書」タブ→[証明書を表示]を押下

４）「認証局証明書」タブの[インポート]を押下し、保存したセキュリティ証明書を選択して開く