OWASP-ZAP 사용

1. 프록시 기능

- burpsuite처럼 프록시 기능 존재, Request 값과 Response 값 등 확인 가능

2. 포트스캔

- 대상의 열린 포트를 검색

3. 스파이더(크롤링 기능)

- 웹 사이트의 디렉터리와 페이지를 탐색

- 조건(옵션)없이 이 기능을 사용할 경우 서비스/시스템에 문제를 발생시킬 수 있음

- 검은색 거미 마크로 표시

- 스파이더 기능을 이용하면 자동으로 페이지를 탐색하고 파싱해주지만 찾지 못하는 페이지와 변수가 존재할 수 있음

→ 수동 진단도 필요(중요)

 

 

4. 에이잭스 스파이더 

- 에이잭스 방식으로 탐색하는 스파이더 기능(크롤링)

- 붉은색 거미 마크로 표시

 

 

 

5. 강제 검색(Forced Browsing)

- 사전 대입 공격과 유사

- uri에 특정 문자열을 붙여 해당 페이지가 존재하는지 탐색

- OWASP-ZAP은 사이트 강제 검색(Forced Browse Site)과 디렉터리 강제 검색(Forced Browse Directory) 기능 존재

- 네가지의 기본 사전 파일 제공(directory-list-1.0.txt)

- 갖고있는 사전파일 추가 가능

사이트 강제 검색 기능

 

 

디렉토리 강제 검색 기능

 

사전파일 선택 가능

 

 

6. 브레이크 기능(트랩)

- 클라이언트와 서버가 주고받는 http 요청 메시지와 응답 메시지를 일시적으로 잡는 기능

- 프록시 툴(Burpsuite, 피들러 등)에서 주로 이용하는 기능과 유사

 

 

 

7. 자동 스캔

- 위의 스파이더, 에이잭스 스파이더, 강제 검색 등을 이용해 수집한 사이트를 대상으로 자동 웹 취약점 진단 수행

 

 

Show advanced options를 통해 옵션 선택 가능

 

- Input Vectors : 패턴이 삽입되는 위치 설정

- Custom Vectors : 공격에 대한 특정 위치 설정

- Technology : 점검 대상의 장비 종류를 선택 (효율성 증가)

- Policy : 점검 항목을 선택하거나 삽입되는 패턴의 강도, 경고 기준을 설정

 

 

 

7.1 스캔 정책 설정

- Ctrl + P 를 눌러 정책을 추가 할 수 있음

- 공격 유형별로 스캔의 강도 (OFF, LOW, MEDIUM, HIGH)를 정할 수 있음

- 진단 시간과 관련

- 오탐/미탐과 관련

- 서비스/시스템에 주는 영향도와 관련

 

 

8. 퍼저(Fuzzer)

- 수집한 http 메시지의 특정 위치에 준비한 페이로드를 삽입해 발생 가능한 취약점을 자동 진단함

- 자동 스캔과의 차이는 툴 이용자가 직접 위치를 정할 수 있고 진단에 사용할 페이로드 종류를 직접 선택 가능

→ 세부적인 진단이 가능하여 효율적임

 

Fuzz

기본 화면

 

공격을 수행할 부분을 지정

Add 버튼을 눌러 페이로드 추가

 

페이로드의 형식을 지정하고 페이로드 지정

 

File Fuzzers - Attack - XSS

 

공격을 수행할 부분을 지정(드래그)한 후 Add 버튼을 눌러 페이로드 추가가 가능함

페이로드의 형식은 문자열(String), 정규표현식(Regex), 스크립트(Script), 파일, 퍼저 파일(File Fuzzers) 등이다.

 

9. 인코더/디코더/해시

- 입력된 문자열을 인코딩/디코딩/해쉬화 해주는 기능

 

단축키 CTRL + E

 

10. 보고서

- OWASP-ZAP 도구를 이용해 진단된 취약점 결과를 여러 형식(TXT, HTML, XML 등)으로 출력할 수 있는 기능

 

 

 

 

사용해보고 난 소감은.. Burpsuite 와 기능상으로 매우 유사하다는점이었다.

burpsuite는 프록시 도구로 좀 더 강점을 갖고있고 Owasp-zap은 스캐닝 도구로 좀 더 강점을 갖고있는듯?