OWASP ZAP では Scan Policy ダイアログボックスで、検査する脆弱性項目の設定を行います。下の画像がそのダイアログボックスです(Macです)。

気付いた人がいるかもしれませんが、[Cancel]ボタンが非活性になっています。これは私が何かしたわけではなくて最初からこうなっています。この状態を見て、このダイアログボックスの挙動について何らかの予想はできると思うのですが、それが合っているとは限りません。ということで、今のところ私が把握していることを以下に箇条書きしておきます。

• 各設定を変更すると、即座に変更が反映される。
  • ここでの「反映される」というのは、ZAPがメモリ上に保持しているオブジェクト(が持っている設定値)にこの変更が反映されるという意味であり、次にスキャンを行った場合にはこの変更が適用される。
• ダイアログの左上にある赤いボタン(Windowsの場合はいわゆる「右上のバツボタン」)で閉じた場合
  • キャンセル的な処理は何もされないので、変更した設定は有効なままになる。つまり、スキャンを行った場合には変更した設定が使用される。
• [OK]ボタンを押した場合
  • ローカル上の config.xml に現在の設定内容が反映される(Mac の場合 ~/Library/Application Support/ZAP/config.xml)。次回のZAP起動時にはこのファイルから設定が読み込まれる。
    • WindowsやLinuxの場合の config.xml の場所については、以前こちらに書きました。→ OWASP ZAP 2.3.0をインストールした後で、以前のバージョンが正常に起動できない場合の対処法
  • もちろん変更した内容は有効になっている。つまり、スキャンを行った場合には変更した設定が使用される。

予想した挙動と同じだったでしょうか？ 分かりにくい動作ではありますね。公式のWikiにも書いてないですし。とにかく、次のZAP起動時にも設定を反映させたかったら、[OK]ボタンで閉じましょうということですね。

※ 環境：OWASP ZAP 2.3.1

[最終更新日: 2014年10月28日]