新しいZAP PTK Add-Onがブラウザセキュリティの発見をネイティブなZAPアラートに変換

Zed Attack Proxy (ZAP)は、現代のウェブアプリケーションをテストするための大規模なアップグレードを受け取りました。このアップデートにより、OWASP PenTest Kit (PTK) 9.8.0と連携して動作する新しいZAP PTK Add-on 0.3.0がリリースされました。

従来のZAPはサーバサイドの振る舞い、HTTPヘッダー、プロキシ層のトラフィックを分析するのが得意でしたが、現代のSingle Page Applications (SPAs)ではセキュリティリスクがクライアント側に押し出されるため、これらのリスクを見逃すことがありました。

ZAP PTK Add-on 0.3.0の主な機能

• ネイティブZAPアラート: ブラウザベースのセキュリティ発見を通常のテストワークフローに直接統合します。
• カスタムルール選択: SAST、IAST、DASTエンジンを選択できます。
• オートスタートスキャン: ZAPブラウザが起動した時点でテストを開始することができます。

このアップデートにより、PTK IASTは実行時に汚染された入力が敏感なDOM操作に達するのを見つけることができます。また、PTK SASTはブラウザが実行するJavaScriptバンドルを分析し、標準的なプロキシスキャンでは見逃される危険なサードパーティースクリプトやunsafe innerHTMLの使用を検出します。

新しい統合をテストする方法

この新機能をテストするには、OWASP Juice Shopのような脆弱性のあるアプリケーションを使用して実践することができます。以下の手順で始めてください：

1. ZAPマーケットプレイスを開き、OWASP PTKアドオンをインストールまたは更新します。
2. Tools → Options → OWASP PTKに移動し、SAST、IAST、DASTエンジンを有効にします。
3. ZAPのQuick Startを使用して、ターゲットURLに対してChromeやFirefoxを起動します。
4. アプリケーションを通常通りに使用し、PTKが実際の認証済みトラフィックを観察できるようにします。
5. ブラウザ内のPTK拡張機能アイコンをクリックしてスキャンを開始します。
6. ZAPのAlertsタブを開き、新たに生成されたクライアントサイドの発見と標準プロキシアラートを確認します。

元記事: https://gbhackers.com/new-zap-ptk-add-on-native-zap-alerts/