やりたいこと
脆弱性診断ツールOWASP ZAPを使って、自分で作成したwebサイトの脆弱性をはかる
その際に、中になる「スパイダー」という機能を用いて、自動でwebサイトの全てのページを洗い出し、それらに対して「動的スキャン」を行い、脆弱性診断を行いたい
発生している問題・エラーメッセージ
ログイン機能がついたサイトのため、「自動認証設定」を行い、認証が通っていることは確認出来た。
しかし、クロールできるのはログイン前のページだけで(ログインページやアセットファイルなど)、ログイン後に訪れるトップページ以降のページをクロールできていない。(当たり前だが、手動で訪れたページに関してはクロールできている)
試したこと
一旦、「スパイダー」機能を使うのはあきらめ、「強制ブラウズ」という機能を使ってみたが、履歴を見ても似たようなファイルしかクロールしておらず、成功しなかった
補足情報(FW/ツールのバージョンなど)
ツール:OWASP ZAP ver2.7.0
webサイト開発言語:FuelPHP ver1.8
追記情報
設定内容
- スパイダー設定
- 動的スキャン設定
開始位置はhttp://*****.com(OWASP ZAPにて「サイト」タブに表示される親フォルダ)を指定
ユーザは自動認証設定で作成したユーザを指定
- 自動認証設定
Login Form Target URLにはログイン時のPOSTファイルを指定
Regax pattern identified in Logged in response messagesにはログイン時のPOSTファイルのレスポンスヘッダ情報に含まれた文字列を指定
※レスポンスには、ログイン後に訪れるページの情報ではない。これは、参考サイトに認証判定について書かれた部分を参照
参考サイト
ディレクトリ構造
FuelPHPを使っているので、MVC構造をとったディレクトリ構造
特に変わった構造でもない、、
docs fuel - core - pdf - public - app - classes - controller - ***** - *****.php - *****.php - *****.php - model - ***** - *****.php - *****.php - *****.php - views - ***** - *****.php - ***** - *****.php - ***** - *****.php
回答1件
あなたの回答
tips
プレビュー