OWASPのZed Attack Proxyは、ウェブアプリケーションセキュリティテストにおける長年の盲点を解決する革新的なアップグレードを受け取りました。それはブラウザの実行コンテキスト内に隠されたクライアント側の脆弱性です。
ZAPは長の間、プロキシレイヤー分析、HTTPヘッダー、サーバー側の動作、リクエスト/レスポンス検査、およびパッシブ・アクティブスキャンのゴールドスタンダードとなってきました。
しかし、最新のシングルページアプリケーション(SPA)は脅威環境を根本的に変えました。重大なセキュリティ欠陥がブラウザのランタイム実行コンテキスト内に存在し、フルページロードをトリガーしたり、プロキシを通じて認識可能なペイロードを送信することはありません。
これらはエッジケースではなく、従来のツールが構造的に観察できないクライアント側リスク全体のカテゴリを表しています。
PTKアドオンは、ZAPが起動するChrome、Firefox、Edgeブラウザ内で直接実行され、ランタイムシグナルを監視し、クライアント側コードをリアルタイムで分析することでこれを解決します。
このアップデートはカバレッジの大幅な向上をもたらします:ZAPは現在142のOWASP PTKタグ付きアラートタイプを備えており、クライアント側検出機能の大幅な拡張です。
PTK IASTはランタイムの動作を監視し、サーバーレスポンスがプロキシに対して完全に正常に見えても、機密DOM操作に到達する汚染されたインプットにフラグを立てます。
この統合のテストは、意図的に脆弱なターゲットとしてOWASP Juice Shopを使用することで簡単です。
ZAP MarketplaceからOWASP PTKアドオンをインストールまたは更新し、Tools → Options → OWASP PTKの下でSAST/IAST/DASTエンジンを設定し、ZAPのQuick Startを使用してブラウザを起動し、認証されたワークフローをブラウズして、PTKスキャンを手動でトリガーし、ZAPのAlertsタブで標準プロキシアラートとともにクライアント側の検出結果を確認します。
ZAPチームは、フルオートメーションが次のマイルストーンであることを確認しており、PTKとZAPが最新のウェブアプリケーションセキュリティテスト用の統一されたCIスタイルスキャンパイプラインとして機能することを可能にします。
翻訳元: https://cyberpress.org/new-zap-ptk-add-on-converts/