以下のブログエントリで、Protected mode の時に Active Scan が動作しない問題について書いてありました。(OWASP ZAP 2.3.1)

WEB系情報セキュリティ学習メモ: OWASP ZAP ハンズオンセミナー 「セキュリティ診断（自分でしたら）いかんのか？（OWASP ZAPなら）ええんやで(^ ^)」第一回～第三回の内容まとめ・後編

どうやら「コンテキストで http://127.0.0.1/test/test.php のようなURLのみを設定していた場合、このURLに対して Active Scan が実行されない (Protected modeの場合)」ようです。

ということで試してみたのですが、確かに動きません。ソースコード [1] を見ると、Active Scan 実行処理の最初のところで、スキャン開始ノードのURLが http://127.0.0.1/test/test.php であっても 127.0.0.1 の部分のみを見て、スコープに入っているかどうかを判定しているようです(ちなみに、[Active Scan] タブの中にある実行ボタン(三角形が横向きになっているようなアイコンのボタン) はこの判定に連動しており、非活性状態になっていることが確認できます)。そしてスコープ内でなければ、何もせず終了します。バグっぽいですね。せめて状況を説明してくれるメッセージ表示があれば親切なのですが。。。今まで修正されなかったのは、このモードを使う人があまりいなかったということでしょうか。

ただ、もうすぐリリースされる 2.4 ではこのあたりの処理が変更されていることもあり、今回の問題は起きません([Active Scan]タブ自体も別ものになっている)。2.3 も直して欲しいとは思いますが、今の時点で 2.3 でしか起きない問題点を報告しても直してくれない気がしますし(どうなんでしょう)、かといって自分で修正パッチを作るには、ちょっと大変な部分です。それでも、2.4 がリリースされるまでに今回のような状況で Active Scan したい場合は、2.3.1 ではなく ZAP Weekly を使うという方法が考えられます。Active Scan のインタフェースが変更されているので少し戸惑うかもしれませんが、今回の問題は起きません。

[1]：例えば、以下の箇所（2014年11月8日時点）

• /org/zaproxy/zap/extension/ascan/ExtensionActiveScan.java#199
• /org/zaproxy/zap/view/ScanPanel.java#469
• /org/zaproxy/zap/view/ScanPanel.java#565
• /org/parosproxy/paros/model/Session.java#701
• /org/parosproxy/paros/model/Session.java#647

[最終更新日: 2014年11月8日]