環境構築

システム要件

  • Docker 1.13.0 or higher
  • docker-compose 1.10.0 or higher

  • Chrome(最新版) - OWASP ZAP の管理画面操作に使用します
  • Firefox(最新版) - Local Proxes 経由の手動探索で使用します

インストール

Quick Start を参照

Note: 後ほど詳細含めて追記します

docker-compose-owaspzap.yml で自動設定される内容

VOLUME マウントディレクトリ

<ec-cubeインストールディレクトリ>/ec-cube/zap:/zap/wrk

セッションやレポートの保存先など、 /zap/wrk に設定すると、ローカル環境にすぐに取り出すことができて便利です。

インストールされるアドオン

アンインストールされるアドオン

  • hud - ヘッドアップディスプレイ。 Selenium などのブラウザ操作ツールと干渉するため使用しない

自動設定されるオプション

  • 日本語ロケール
  • APIキーの無効化
    • クローズドな環境での利便性向上のため
  • アンチCSRFトークン(試験的)
  • HttpSessionトークン
  • グローバルアラートフィルター(試験的)
    • 常に誤検知されるものを登録

その他

  • Local Proxes 用 SSL ルート CA 証明書の自動出力
    • ローカル環境の <ec-cubeインストールディレクトリ>/zap/owasp_zap_root_ca.cer に出力されます
    • Firefox の証明書マネージャーに読み込んで使用します