OWASP ZAP

https://shirakawa.weblike.jp/blog-page/2024/01/27 安全なWebアプリケーションの作り方からのリンク

ZAPを動かすためにJavaのランタイムlibが必要になり以下でInstした。
https://shirakawa.weblike.jp/blog-page/2025/05/13…

ここから、https://www.zaproxy.org/download/ DLしてきて実行してみたが、
$ tar xpf ZAP_2.16.1_Linux.tar.gz
$ cd ZAP_2.16.1
$ sh ./zap.sh
Exiting: ZAP requires a minimum of Java 17 to run, found 11.0.16

仕方ないので、ZAP_2.8.0_Linux.tar.gz を探したが、zaproxy.org には無い。
あったのは、kali linux (www.kali.org)。debian pool zaproxy、でググった。
http://old.kali.org/kali/pool/main/z/zaproxy/

https://www.kali.org KaliLinuxとは? 古いZAPがここに置いてあるが、使って大丈夫か？ (->ChatGPT)

Kali Linux は、以下のような目的に特化した **Linuxディストリビューション** です：
## 🔍 **Kali Linux とは？**
| 項目 | 説明 |
| ——— | ——————————————————————- |
| **提供元** | Offensive Security 社（[https://www.kali.org）](https://www.kali.org）) |
| **ベースOS** | Debian |
| **目的** | **ペネトレーションテスト（侵入テスト）**や**セキュリティ監査**など |
| **用途** | ハッキング、リバースエンジニアリング、フォレンジック（証拠調査）など |
| **主なツール** | Nmap、Metasploit、Wireshark、John the Ripper、ZAP など 600以上 |

## ⚠️ Kali Linux に置かれている「古い ZAP」について
Kali Linux には **多数のセキュリティツールのパッケージ**が含まれており、ZAP（OWASP ZAP: ゼット・アタック・プロキシ）もその一つです。
しかし Kali Linux のパッケージは以下の理由で「古い」ことがあります：

### 🔸 理由1: 安定性優先
* Kali（とそのベースの Debian）では、**最新版ではなく安定版が優先**されます。
* セキュリティ上、**動作保証されたバージョンを固定**して配布することが多い。

### 🔸 理由2: パッケージ更新のタイミングが遅い
* Kali Linux のリポジトリにある ZAP は、\*\*公式サイト（[https://www.zaproxy.org）で公開されている最新版より古い\*\*ことが多い。](https://www.zaproxy.org）で公開されている最新版より古い**ことが多い。)
* 開発の中心は OWASP の公式サイトです。

## 🔄 安全に最新版 ZAP を使うには？
公式サイトから最新版をダウンロードできます：
🔗 [https://www.zaproxy.org/download/](https://www.zaproxy.org/download/)
また、Docker 版もあります：
$ docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap.sh

## ✅ 結論
* **Kali Linux の ZAP は古いことが多い** → 安定性重視
* **学習や検証ならOK**、ただし **本番のセキュリティ診断には最新版を使うべき**
* **最新版は公式サイトから取得するのがベスト**

必要なら、Kali上で ZAP の最新版をインストールする手順もご案内できます。

学習用なので、使うことにした。
$ tar xpf zaproxy_2.8.0.orig.tar.gz
$ cd ZAP_2.8.0
$ sh ./zap.sh
(実行できたらしい)

Slackware-15.0 メモ

コメントを残すコメントをキャンセル

最近の投稿

最近のコメント

アーカイブ

カテゴリー