クライアントサイド統合 - 内部構造
ブラウザ拡張機能
このアドオンは、FirefoxとChromeで動作するZAPブラウザ拡張機能に依存しています。この拡張機能が存在しない場合、このアドオンは何も実行できません。
ブラウザ拡張機能はZAPと通信できる必要がありますが、悪意のあるターゲットがこのアドオンが定義するAPIエンドポイントを悪用できないように、安全な方法で行う必要があります。
構成の詳細をブラウザ拡張機能に渡すのは困難な場合があります。そのため、ブラウザの起動方法に応じて2つの異なる方法で行われます。
ZAPからのブラウザ起動
ZAPでこのアドオンが有効な状態でFirefoxまたはChromeを起動すると、ZAPブラウザ拡張機能が自動的に追加されます。
このアドオンは、 http://zap/zapCallBackUrl/12345678901234567890
のようなコールバックURLも開きます。このURLはZAPが起動されるたびに再生成され、悪意のあるターゲットが発見することが非現実的であるため、安全であると見なされます。
ブラウザ拡張機能は、コンテキストスクリプトのindex.tsでこの形式のURLを検出し、そのURLを使用してブラウザからZAPにデータを渡します。
手動でのブラウザ起動
FirefoxまたはChromeを他の方法で起動する場合、次の場所からブラウザ拡張機能を自分でインストールする必要があります。
インストールしたら、ZAPブラウザ拡張機能を手動で設定する必要があります。 FirefoxまたはChromeで:
- 「拡張機能」ボタンをクリックします
- 「ZAPブラウザ拡張機能」を選択します
- 拡張機能の「設定」画面を更新します
設定する必要がある項目:
- ZAP API URL: デフォルトは
http://zap/
で、すべての場合に機能するはずですが、ZAPが待機しているホストとポートを使用することもできます。例: http://localhost:8080
- ZAP API Key: これはZAPのAPIオプション画面で見つけることができます
ZAPでAPIキーをオフにしている場合は、ZAP API Keyを空欄にすることもできますが、これはZAPを介してアクセスするWebサイトを信頼している安全な環境でのみ推奨されます。