本項の内容
アプリケーションの脆弱性をContrastで検出するには、Contrastエージェントをアプリケーションに組み込む必要があります。本項では、JavaアプリケーションにContrastエージェントを追加する一般的な手順について説明します。手順の主な流れは、以下の通りです。
1. Contrastエージェントを取得
Contrastエージェントを取得する方法は、以下の通りいくつかあります。
- Contrast UI(インターフェイス)からダウンロード
- Maven Centralより取得
- Debianリポジトリより取得(apt-getを使用)
- RPMリポジトリより取得(yumを使用)
本項では、Contrast UIからJavaエージェントをダウンロードする方法による説明になります。その他の方法については、上記の各項目にリンクされている弊社ドキュメントを参照ください。
Contrast UIからダウンロード
Contrast UIにログインし、ナビゲーションバーでエージェントを追加をクリックします。
エージェントタイプを選択のリストボックスよりJavaを選択して、エージェントをダウンロードをクリックします。contrast.jarというJavaエージェントのファイルのダウンロードが開始します。
ダウンロードが完了したら、スキップボタンをクリックして次の画面に進みます。もしくは、以下のように画面左にある2番目の●をクリックしても次のステップ2の画面に進むことができます。
ステップ2の画面で、設定ファイルをダウンロードのボタンをクリックします。contrast_security.yamlという設定ファイルのダウンロードが開始します。ダウンロードが完了したら次へをクリックします。
2. アプリケーションにContrastエージェントを設定
脆弱性の検査対象とするアプリケーションが動作するサーバに、ダウンロードしたcontrast.jarとcontrast_security.yamlをコピーします。Contrastの設定ファイル(contrast_security.yaml)を以下の通り指定されたフォルダに移動します。
UNIX系
/etc/contrast/java/contrast_security.yaml
Windows
%ProgramData%\Contrast\java\contrast_security.yaml
ステップ3でコンテナを選択し、画面に表示されている方法を参考に、検査対象のアプリケーションサーバの起動時にcontrast.jarを組み込むよう指定します。
この画面では、コンテナ毎にエージェントの組み込み方法が提示されますが、基本はJVMに以下のパラメータを渡すだけです。パスは、実際にcontrast.jarのあるディレクトリを指定してください。
-javaagent:/path/to/server/contrast.jar
3. アプリケーションを再起動
Contrastエージェントを組み込む設定をしたら、アプリケーションサーバを再起動します。再起動できたらContrast UIのアプリケーションページにアクセスし、アプリケーションの一覧に検査対象のアプリケーション名が追加されていることを確認してください。アプリケーションが起動されている場合、アプリケーション名の右の丸印が緑色●になります。
Contrast UIにアプリケーション名が表示されない場合は、検査対象のアプリケーションのページをいくつか表示したり、画面を開いてみてください。アプリケーションを閲覧してトラフィックが発生すると、Contrast UIにアプリケーション名が表示されます。
関連情報
・WebGoatにContrastエージェントを設定してみる