OWASP ZAP には Structural Parameters という設定項目があります。

これは SPA(Single Page Application)な Webアプリケーションのために用意されている機能です。

例えば、以下のようなURLがあった場合、

• 192.168.0.50/bodgeit/product.jsp?prodid=23
• 192.168.0.50/bodgeit/product.jsp?prodid=24
• 192.168.0.50/bodgeit/product.jsp?prodid=25

通常は、192.168.0.50/bodgeit/product.jsp という1つのノードとして扱われてしまうため、もしそれぞれが違う機能を持った画面になっていたとしても別々に検査することができません。こんな時に、パラメータ名 prodid を Structural Parameters に登録すると、それぞれのURLを別々のノードとして扱ってくれます。但しこの機能を使うには、上の画像でも分かる通りコンテキスト(Contexts)を設定する必要がありますので、「Include in context」の項目だけでも登録してから Structural Parameters を設定しておきましょう。

※ どうやら、この機能で設定対象となるのはGETパラメータだけだったようで、最近 POSTパラメータも対象にできるように変更するコードがリポジトリにコミットされました。しかし、もうすぐリリースされるバージョン 2.4 には間に合わないかもしれません。要観察です。(間に合ったようです。2014-11-29)

環境

• OWASP ZAP 2.3.1

参照

• Support ‘single page’ apps and ‘non standard’ parameter separators - Google Groups
• Issue 965 - zaproxy - Support ‘single page’ apps and ‘non standard’ parameter separators - OWASP ZAP

最終更新日: 2014-11-29