以下の環境を作成し、脆弱性チェックを行いたいと考えました。
【環境】
AWS Route53(例https://hoge.com)で設定したドメインにアクセス→ALB
→Amazon ECSにてコンテナ起動したowaspzapを使用し、自サービスの脆弱性チェックを行う
【問題】
owaspzapを
zap-webswing.shで起動した時に
https://hoge.comにアクセスするとGUIの画面は表示される。
owaspzapを以下のコマンドでdaemonモードで起動した場合
zap.sh -daemon -host 0.0.0.0 -port 8080 -config api.disablekey=true -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true
コンテナが動いているEC2インスタンスに接続してcurlコマンドを実行すると成功するが
curl "http://localhost:8080/JSON/core/view/version/?zapapiformat=JSON&formMethod=GET" {"version":"2.7.0"}
ドメイン指定だと接続できない
curl "https://hoge.com/JSON/core/view/version/?zapapiformat=JSON&formMethod=GET" ZAP Error [java.net.ConnectException]: Connection refused (Connection refused) Stack Trace: java.net.ConnectException: Connection refused (Connection refused)
ZAP Errorと出ているので、owaspzapまでは行ってるようなのですが、
なぜエラーとなるのかが不明です。
設定で接続出来るようになるのか、そもそも不可能な事をしているのかわかる方いらっしゃいましたら、回答をお願いします。
あなたの回答
tips
プレビュー