Web Application Security Memo

ウェブセキュリティに関するメモ書き

OWASP ZAP の Structural Parameters 設定項目

※当サイトにはプロモーションが含まれています。

公開日: 更新日:

OWASP ZAP には Structural Parameters という設定項目があります。

これは SPA(Single Page Application)な Webアプリケーションのために用意されている機能です。

zap_structural_parameters

例えば、以下のようなURLがあった場合、

  • 192.168.0.50/bodgeit/product.jsp?prodid=23
  • 192.168.0.50/bodgeit/product.jsp?prodid=24
  • 192.168.0.50/bodgeit/product.jsp?prodid=25

通常は、192.168.0.50/bodgeit/product.jsp という1つのノードとして扱われてしまうため、もしそれぞれが違う機能を持った画面になっていたとしても別々に検査することができません。こんな時に、パラメータ名 prodid を Structural Parameters に登録すると、それぞれのURLを別々のノードとして扱ってくれます。但しこの機能を使うには、上の画像でも分かる通りコンテキスト(Contexts)を設定する必要がありますので、「Include in context」の項目だけでも登録してから Structural Parameters を設定しておきましょう。

zap_structural_parameters2

※ どうやら、この機能で設定対象となるのはGETパラメータだけだったようで、最近 POSTパラメータも対象にできるように変更するコードがリポジトリにコミットされました。しかし、もうすぐリリースされるバージョン 2.4 には間に合わないかもしれません。要観察です。(間に合ったようです。2014-11-29)

環境

  • OWASP ZAP 2.3.1

参照

最終更新日: 2014-11-29

広告