OWASP ZAPにはカスタムスクリプトを作り、実行する機能がありますが、便利そうな機能なのに解説のドキュメントがあまりありません。
手探りで作り方を探ってみた結果、いくつか成果が得られたのでここに公開します。
■Stand Aloneスクリプト編(1) HelloWorldを表示してみる
一番単純に、とりあえずHello World的なものを動かしてみるだけの手順です。
※後日(2016.11.9)注:執筆時筆者が「Scripts」タブはデフォルトで表示されていると思い込んでいたので、「Scripts」タブをクリックするところから解説を始めていたのですが、改めて確認したところ、デフォルトの状態のZAP2.5.0だと「Scripts」タブが表示されません。
下図のようにサイトツリーの上部に「Scripts」タブが表示されていない場合は、ZAPの[ヘルプ]-[アップデートのチェック]-[マーケットプレイス]で「Script Console」というアドオン(2016.11月現在 Betaレベル)をインストールしてください。
また、本記事のシリーズで「Zest」という言語を利用するので、同様に「Zest - Graphical Security Scripting Language」アドオン(2016.11月現在 Betaレベル)もインストールしておいてください。
(ミスすみません)
1) ZAPを起動し、「Scripts」タブをクリック。
2) Stand Alone を右クリック - 「新規スクリプト…」をクリック。
3) 新規スクリプトのダイアログで以下のように入力し「保存」をクリック。
Script名:script_test1
タイプ:Stand Alone
Script engine:ECMAScript:Oracle Nashorn
テンプレート:Standalone default template.js
説明:任意の内容
開始時にロード:チェック
4)「Stand Alone」の下に「script_test1」が作成されます。
「script_test1」を選択し、右上のペイン(「Scriptコンソール」タブ)に
print('hello zap script');
5) 「Scriptコンソール」の上下ペインの間の枠にあるほうきマークをクリックすると、下のペインがクリアされ白紙状態になります。
その状態で上のペインの「実行」をクリックすると、下のペインに「hello zap script」という文字列が現れます。
第一歩目としてStand Aloneスクリプトでの「Hello World」に成功しました。
次は、ZAPのサンプルスクリプトを動作させてみます。
次へ
※当ブログの記事中で紹介したサンプルコードはなるべく間違いのないように心がけておりますが、無保証です。利用する場合は自己責任にて改めて検証の上ご利用ください。
(何かミスを見つけたらお知らせください)