WebGoat-2: HTTP Proxies

情報セキュリティ

この演習は主にZAPの使い方を学ぶ感じ。

前半部ではZAPでキャプチャするセッションをフィルタリングしたりブレークポイントを貼ってブラウザからのリクエストをインターセプトしたり。
ブレークポイントに関して注意したいのが、単にブレークポイントを貼るだけではヒットしてくれないということ。ZAPの左ペインからHTTPメッセージをインターセプトしたいサイトを左クリックし、「コンテキストに含める」必要がある。ここでは、とりあえず「既定コンテキスト」にした。

a

演習問題は、POSTリクエストをブレークポイントを貼ってヒットさせ、改ざんしたものを再送せよ、というもの。

a

ひとまずボタンをクリックしたら、設定が上手くいっていればブレークポイントにヒットしたことをZAPが主張してくる。
問題文の指定通りにHTTPメッセージを改ざんし、画面上部の再生ボタンをクリック。

a

うまくいったようだ。

a

後半はHTTPS、ZAPでのリクエスト再送方法、証明書、Burpの説明など。WebGoatの演習のうちひとつはBurpを使わないと解けないそうだ。よくわかってないので飛ばし気味に読んだ。