こんにちは。山嵜です。
徳丸本(体系的に学ぶ 安全な Web アプリケーションの作り方 第 2 版)の実習環境を macOS で構築したので、備忘録を兼ねて導入の流れを本記事で紹介させていただきます。
記事の対象者
- 徳丸本で環境構築を行う方
- macOS(Apple Silicon)を使用している方
なお、本記事は徳丸本の書籍が手元にある前提で話が進みます。
必要なもの
以下のソフトウェアを各自インストールしてください。
- Mozilla Firefox
- Firefox 拡張機能: FoxyProxy-Standard
- Docker Desktop
- OWASP ZAP
- Java (JRE)
拡張機能に関しては、徳丸本のページに設定方法が記載されています。
macOS を使用している方でも、以下の動画が参考になると思います。
ただし、OWASP ZAPの導入については手順が異なるので以下にまとめています。
OWASP ZAP のインストール
記事作成時の最新バージョンは 2.17.0 です。
GitHub の Releases からダウンロードするファイルを選択します。
Apple Silicon(M1, M2 など)を使用している方はZAP_2.17.0_aarch64.dmgを選択すれば OK です。
dmgをダウンロードしたらダブルクリックして開き、 Application に追加します。
しかし、LaunchPad 経由で開こうとすると「開発元を検証できないため開けません。」というエラーが出ることがあります。
その場合は、以下の手順を参考にして dmg を開く手順を行ってください。
開くことができたら、OWASP ZAPを開いて進めていきます。
OWASP ZAP の各種設定
先ほど掲載した徳丸さんの動画は 2023 年 2 月に公開されているため、現在のバージョンと少し設定画面が異なります。
こちらは、macOS に限らず Windows ユーザーの方にも参考になると思います。
まずは起動します。最初はセッションの保持方法について尋ねられますが、特に指定はありません。
今回は、一番上を選択して開始を押します。
後にアドオンのダイアログが出てきますが、そのまま閉じて OK です。
ツール > オプションを選択します。
ネットワーク > ローカルサーバー/プロキシを選択して、赤枠のように設定します。
ネットワーク > 接続を選択して、赤枠のように設定します。
ブレークポイントを選択して、赤枠のような設定になっているかを確認してください。
HUDを選択して、赤枠のような設定になっているかを確認してください。Enabled when using the ZAP Desktopのチェックが外されていることを確認できれば設定は完了です。
ここで OWASP ZAP を再起動します。
実習環境の最終確認
あとは実習環境へのアクセスができるかを確認しましょう。
ホームの手動探索を選択します。
探索対象 URLにhttp://example.jpを入力して、Firefox でブラウザを起動ボタンを押しましょう。
Firefox ブラウザが開いて、ページが表示されたら環境の準備は完了です。