やっつけ不定記

好きなときに好きなことをちゃっちゃと書いてます

OWASP ZAPをLinuxに入れてみた

OWASPが無料で公開しているWebアプリの脆弱性検査ツール「OWASP ZAP」があります。
ネットの記事でもちょこちょこ見かけるようになり、先日のITフェスティバルでも紹介されていました。
個人的に少し盛り上がっています。
ちょっと前に触ったことがあったのですが、当時はWindows PC。
出回っている記事を参考にしたら、あっさりできたものでした。
というわけで、ちょっちひねくれてLinuxでもできるか実験。
いつも使っているLinux Mint 17で試してみました…Windows以上に簡単でした。
しんどかったのは、バイナリがなかなか落ちなかったことくらい。
拍子抜けですが、以下、やったこと。


(1)公式サイトからモジュールを落とす。
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://code.google.com/p/zaproxy/wiki/Downloads?tm=2
これを書いている時点では ZAP_2.3.1_Linux.tar.gz が落ちてきた。


(2)モジュールを展開する。
$ tar zxfv ZAP_2.3.1_Linux.tar.gz
ZAP_2.3.1というディレクトリができる。自分は zap というディレクトリに変更して
整理しやすいところに移動しました。


(3)起動してみる。
$ cd (OWASP ZAPのディレクトリ)
$ ./zap.sh
何かしらログが出た後、ApacheライセンスのGUIが出る。
OKをクリックしたらOWASP ZAPが起動する。
起動時のログに
Found Java version 1.7.0_65
とあったので、もしかするとJavaの導入が前提かもしれません
(この環境にはOpenJDK 1.7.0_65が入っています)。
OWASP ZAPのファイル群に、それっぽいjarファイルあるし。


<戦利品>
おおきく振りかぶって(24)
げんしけん二代目の八(17)
緋弾のアリア(11)
リアル(14)