2020. 12. 25. 03:44ㆍ정보보안/웹 해킹
1. OWASP ZAP이란?
The OWASP Zed Attack Proxy (ZAP) is one of the world’s most popular free security tools and is actively maintained by a dedicated international team of volunteers. It can help you automatically find security vulnerabilities in your web applications while you are developing and testing your applications. It's also a great tool for experienced pentesters to use for manual security testing
OWASP ZAP은 가장 유명한 무료 보안툴 중 하나이며 OWASP에 의해 관리되고있습니다.
이 툴은 개발 또는 개발 테스트 시 보안 웹 어플리케이션의 보안 취약점을 자동으로 발견하는데에
도움을 줄 수 있으며 메뉴얼 보안 테스트를 위해 모의해커들이 사용할 수 있는 멋진 도구입니다.
2. OWASP ZAP 설치
OWASP ZAP 설치 공식 사이트
OWASP ZAP
As with all software we strongly recommend that ZAP is only installed and used on operating systems and JREs that are fully patched and actively maintained.
www.zaproxy.org
2.1 OS에 맞는 파일을 Download
2.2 JAVA 8 이상 설치
Windows 및 Linux에서 OWASP ZAP을 사용하기 위해서는 JAVA 8 이상 버전이 미리 설치되어 있어야 합니다.
(JAVA 설치 및 PATH 환경변수 설정은 다른 게시글 참조)
www.oracle.com/kr/java/technologies/javase/javase-jdk8-downloads.html
2.3 OWASP ZAP 설치
설치 과정은 별다른 과정 없이 Next 를 눌러준다.
2.4 OWASP ZAP 실행
ZAP에서 작업 세션을 끝낼 때 어떻게 할 것인지 묻는 창이며 내용은 차례대로 다음과 같다
1. 현재 시간 파일 이름으로 자동 세션 저장
2. 사용자가 이름과 저장 경로를 지정하여 세션을 저장
3. 세션을 저장하지 않음
절대로 알려진 URL 혹은 IP에 대해 취약점 스캔을 수행하면 안됨
2.5 OWASP ZAP 테스트
테스트를 위해 testphp.vulnweb.com/라는 모의해킹 실습 테스트 사이트를 이용하였다.
2.6 결과 확인
다음과 같이 어떤 웹 어플리케이션 취약점 공격에 대해 위험한지를 그 정도에 따라 구분하여 알려주고 있음을 확인할 수 있다.
'정보보안 > 웹 해킹' 카테고리의 다른 글
| LOS(The Lord of the SQLI ) 1 - GREMLIN (0) | 2021.01.14 |
|---|---|
| SQLMAP (0) | 2021.01.04 |
| Arachni(무료 웹 취약점 진단 툴) (0) | 2020.12.29 |
| WPScan(Wordpress 취약점 진단 도구) (0) | 2020.12.28 |
| Tomcat 관리자 계정 설정 (0) | 2020.12.27 |