OWASP Zed Attack Proxy (ZAP)は、最新のウェブアプリケーションのテストのために大規模なアップグレードを受けました。
ZAP PTKアドオン0.3.0のリリースは、OWASP PenTest Kit (PTK) 9.8.0と連携して、ブラウザベースのセキュリティ検出をネイティブZAPアラートに直接変換するようになりました。
従来、ZAPはサーバー側の動作、HTTPヘッダー、プロキシ層のトラフィック分析に優れていました。
しかし、最新のシングルページアプリケーション(SPA)は、標準的なプロキシツールが確認するのに苦労するクライアント側に多くのセキュリティリスクをもたらします。
最新のウェブアプリをテストする際、従来のプロキシツールはユーザーインターフェース内に隠された重大な脆弱性を見落とすことが多いです。
DOM ベースのクロスサイトスクリプティング(XSS)やミニ化されたコード内の危険なJavaScriptパターンなどのセキュリティ欠陥は、ブラウザの実行コンテキスト内で全く発生します。
これらのアクションは完全なページロードをトリガーしたり、認識可能なペイロードをプロキシ経由で送信することはないため、標準スキャナーには見えないままです。
PTKアドオンは、ZAPで起動されたブラウザ内で直接実行することで、この問題を解決します。ランタイムシグナルとクライアント側のコードを監視し、ブラウザ実行とプロキシトラフィック間のギャップを埋めます。
PTKアドオン0.3.0へのアップグレード
ZaProxyによると、最新版は脆弱性カバレッジの大幅な向上をもたらし、142のPTKタグ付きアラートタイプをZAPダッシュボードに直接追加します。
0.3.0アップデートは3つの主要機能をもたらします:
- ネイティブZAPアラートは、ブラウザの検出結果を通常のテストワークフローに直接表示します。
- カスタムルール選択により、SAST、IAST、DASTエンジン間で選択できます。
- 自動開始スキャンは、ZAPブラウザが起動するとすぐにテストを開始します。
例えば、PTK IASTは汚染されたインプットが実行時に機密DOM操作に到達するのをフラグ付けできるようになりました。これはサーバーレスポンスがプロキシに完全に正常に見える場合でもです。
一方、PTK SASTはブラウザが実行する実際のJavaScriptバンドルを分析し、安全でないinnerHTML使用法や標準的なプロキシスキャンが見落とす危険なサードパーティスクリプトを検出します。
最初のスキャンを実行する方法
この新しい統合をテストするのは簡単です。意図的に脆弱性のあるアプリケーション(OWASP Juice Shopなど)を使用して、クライアント側のアラートがZAPにどのように表示されるかを確認できます。
開始するには、次の手順に従ってください:
- ZAP Marketplaceを開き、OWASP PTKアドオンをインストールまたは更新します。
- Tools → Options → OWASP PTKに移動し、SAST、IAST、DASTエンジンを有効にします。
- ZAPのQuick Startを使用して、ターゲットURLに対してChromeまたはFirefoxを起動します。
- ログインし、検索し、ワークフロー全体をクリックして、アプリケーションを通常の方法で閲覧し、PTKが認証されたトラフィックを観察できるようにします。
- ブラウザでPTK拡張アイコンをクリックして、スキャンを手動で開始します。
- ZAPのアラートタブを開いて、新しく生成されたクライアント側の検出結果を標準的なプロキシアラートと一緒に確認します。
翻訳元: https://gbhackers.com/new-zap-ptk-add-on-native-zap-alerts/
