Webアプリケーションの脆弱性調査に使用するツールにはいろいろな種類があります。ここでは、ツール自体がプロキシとなってブラウザからのリクエストを受け取り、その中身を見たり編集したりした後、Webサーバにそのリクエストを送信することができるツールについて取り上げます。この機能を実装しているツールはいろいろありますが、どれを使ったらよいのか分かりにくいなと以前から思っていたので現状をごく簡単にまとめておきます。

※ ここに出てくるOWASPとは、The Open Web Application Security Project の略で、ウェブアプリケーションセキュリティに関連する問題を解決するために立ち上げられたプロジェクトです。イベント開催やツールの開発など様々な活動を行っています。詳細はこちらを参照して下さい。 Japan - OWASP

Paros

公式サイト

Paros Proxy | TestingSecurity.com

メモ

• オープンソース
• OWASP ZAPはParosを元にしており、どちらも本記事で対象とする機能を持っている。
• 最新版 v3.2.13 2006-08-08リリース

OWASP WebScarab

公式サイト

Category:OWASP WebScarab Project - OWASP

メモ

• オープンソース
• 最新版 2007年5月4日リリース
• 恐らくOWASPはWebScarabに力を入れるのは止めて同種のツールであるOWASP ZAPに注力しているのではないか。

OWASP WebScarab NG(New Generation)

公式サイト

OWASP WebScarab NG Project - OWASP

メモ

• オープンソース
• OWASP WebScarab を使い易くすべく開発が始まったツール
• 最新版 v0.2.1 2011月1月22日リリース
• 情報が極端に少ない。
• 恐らくOWASPはWebScarab NGに力を入れるのは止めて同種のツールであるOWASP ZAPに注力しているのではないか。

OWASP ZAP(Zed Attack Proxy)

公式サイト

OWASP Zed Attack Proxy Project - OWASP

メモ

• オープンソース
• 自動で脆弱性をスキャンできる。
• ToolsWatch.org というセキュリティツールのサイトで、2013年における読者人気投票 第1位。
• 最新版 v2.2.2 2013-12-16リリース
• こちらの記事も参照して下さい。
  • OWASP Zed Attack Proxy (ZAP)とは？

Burp Suite

公式サイト

Burp Suite

メモ

• オープンソースではない。
• 無料版と有料版がある。
• 有料版でないと「Scanner」機能が使えない。
• 有料版があるだけあってインターフェースが洗練されている印象を受ける。
• ToolsWatch.org というセキュリティツールのサイトで、2013年における読者人気投票 第3位。
• 最新版 v1.5 2012年10月リリース

結論

• Paros, OWASP WebScarab, OWASP WebScarab NG は開発がほぼ継続されていない状態であり、OWASP ZAPに集約されたと言ってよさそう。
• おカネがあるならBurp Suiteを使う。
• 自動スキャンしたいならOWASP ZAPを使う。
• ソースコードが公開されてないツールは使いたくないならOWASP ZAPを使う。