クラウド時代のパートナー 株式会社 pnop

Azure Marketplace "Web Application Vulnerability Scanner" 使用方法

Select a language: [English] [日本語]

はじめに

このドキュメントはAzure Marketplaceで提供されている "Web Application Vulnerability Scanner" の説明書です。

Web Application Vulnerability Scannerとは

"Web Application Vulnerability Scanner" は、Web脆弱性診断ツールです。

我々が提供する "Web Application Vulnerability Scanner" は、OWASP™ Zed Attack Proxy(以下ZAP)をAzure上で稼働させるものです。

Web Application Vulnerability Scannerの特徴

  • OWASP™ ZAP 2.10.0
  • Microsoftのリモート デスクトップ クライアントから接続可能 (xrdp導入済み)
  • 日本語、韓国語、中国語フォント導入済み
  • Ubuntu 20.04 LTS
  • Azure Virtual Machines イメージとして提供

システム要件

  • Virtual machineが TCP/3389 への接続を受け付けること (Remote Desktop Serviceで外部からの接続を受け付け、GUI操作をしたい場合)
  • Virtual machineが TCP/22 への接続を受け付けること (SSHで外部からの接続を受け付け、操作をしたい場合)

構築方法

"Web Application Vulnerability Scanner" にアクセスを行い通常の仮想マシンと同様にデプロイします。

仮想マシンのNICにネットワークセキュリティグループ(NSG)が適用されます。

NSGの受信セキュリティ規則には、以下のルールが追加されています。

  • 任意の接続元から RDP(TCP/3389) を許可
  • 任意の接続元から SSH(TCP/22) を許可

必要なところからのみ接続を許可するようにこのNSG設定を変更することをお薦めします。特にパブリックIPアドレスを作成した場合は、インターネットからこれらの接続を許可している状況です。

利用方法

Remote DesktopによるGUI操作と、SSHによるCUI操作を選択できます。

※ OWASP™ ZAPの使用方法はこのドキュメントには含まれていません。こちらのサイトを参照ください。

GUIによる操作

  1. Remote Desktop接続

    1. クライアントPCからリモートデスクトップ(RDP)で接続します。

      • コンピューター : 作成した仮想マシンのパブリックIPアドレス
    2. リモートデスクトップ画面が表示され、「Login to (仮想マシン名)」のダイアログが表示されるので、以下の情報を設定して [OK] をクリックします。

      • Session : Xorg
      • username : Marketplaceからデプロイした時に指定したユーザー名
      • password : Marketplaceからデプロイした時に指定したパスワード
  2. OWASP™ ZAPの起動

    1. リモートデスクトップ画面の [OWASP ZAP] をダブルクリックします。

    2. ZAP Sessionの確認画面で任意の行を選択後、[Start] をクリックして初期画面を表示させます。

    3. 初回起動時にはAdd-onsパッケージのアップデート確認画面が表示される場合がありますが、必要に応じてAdd-onのアップデートを行います。

    4. [Tools] メニューの [Options...] を選択後、Optionsメニューリストから [Language] にて表示言語の変更が行なえます。
      (OWASP™ ZAPの再起動が必要)

デプロイ時に認証の種類として「SSH公開キー」を選択した場合は、GUIでのログインのためにログインユーザーのパスワードを設定する必要があります。
仮想マシンにsshでログインし、以下を実行してください。

(login from ssh)
$ sudo passwd $USER
New password: <<enter password>>
Retype new password: <<re-enter password>>
passwd: password updated successfully

CUIによる操作

SSHで接続し、操作してください。
コマンドラインで実行する方法はこちらを参照ください。

OWASP™ ZAPのパス:/usr/local/bin/zap.sh

日本語入力の設定

OWASP™ ZAP でコメントを日本語で入力したい場合などでお試しください。

  1. クライアントPCからリモートデスクトップ(RDP)で接続します。

  2. リモートデスクトップ画面の [Applications] メニューから [Settings] を選択後、 [Session and Startup] をクリックします。
    日本語入力_001

  3. [Application Autostart] タブで一覧中の [ibus-daemon] をチェック後、[Close] をクリックします。
    日本語入力_002

  4. リモートデスクトップからログアウト後に再度ログインします。

  5. リモートデスクトップ画面の [Applications] メニューから [Settings] を選択後、 [iBus Preferences] をクリックします。
    日本語入力_003

  6. [Input Method] タブで [Add] をクリック後に表示される [Select an input method] 画面にて、[Japanese] をクリック後に表示される一覧から [Kana Kanji] を選択後、[Add] をクリックします。
    日本語入力_004

  7. [Japanese - japanese] を選択、[Remove] をクリックし、[Input Method] から削除後 [Close] をクリックしてiBus Preferences 画面を終了します。
    日本語入力_005

  8. リモートデスクトップ画面の [Applications] メニューから [Settings] を選択後、 [Language Support] をクリックします。
    日本語入力_006

  9. [Language] タブで [Keyboard input method system] のプルダウンメニューから [iBus] を選択後、[Close] をクリックして Language Support 画面を終了します。
    日本語入力_007

  10. デスクトップ画面上部のステータスバーに [あ] が表示されることを確認、[半角/全角] キーで日本語と英語の切り替えを行います。
    日本語入力_008

その他

ソフトウェアのアップデートについて

Ubuntu及びOWASP™ ZAPをはじめとした各種のソフトウェアバージョンは、Azure Marketplaceに登録時点の最新 Version が適用済みです。

必要に応じてUbuntuおよびソフトウェアのアップデートを行ってください。

FAQ

  • Remote Desktopでvirtual machineに接続できない

    • Virtual machineにTCP/3389ポートで接続できる必要があります。
      以下を確認してください。
      • サブネットやNICに割り当てているAzure NSGでTCP/3389の受信を許可する設定になっているか?
      • Azure LoadBalancer経由の場合はそのLoadBalancerが適切に仮想マシンのTCP/3389にフォワードするようになっているか?
  • OSが正常に起動しない / Remote Desktopへのログインが行えない

    • Virtual machineを正常に動作させるためには、OSのメモリは2GB以上必要です。

      Virtual machineのサイズを適切なものに変更してください。

サポートについて

サポートは有償にて承ります。

  • サポート対象お問い合わせ例
    • 対象のソリューションがデプロイできない
    • デプロイ直後の仮想マシンが正常に動作しない
  • 以下はサポート対象外になります
    • UbuntuやOWASP™ ZAPに関する一般的な使用方法
    • Azureに関する一般的なご質問については弊社提供の『Azure技術支援サービス』にて承ります。

サポートをご希望の方は以下にお問い合わせください。

  • 株式会社 pnop - Marketplace Solutionsサポート営業窓口
  • sales@pnop.co.jp

The OWASP™ Word Mark and OWASP & Design™ Logo are registered or unregistered service marks of OWASP Foundation, Inc. in the United States and other countries. All rights reserved. Unauthorized use strictly prohibited.