티스토리 뷰

개발/보안

OWASP ZAP 설치 및 시작 법

개발자와코더사이가 PM일까? 2017. 12. 9. 20:10
반응형

금일은 OWASP ZAP 설치 및 시작법에 대해서 이야기 하려고 합니다.

기본적으로 OWASP ZAP은 OWASP이 만들고 과학기술사이버안전센터에서 “공개도구를 이용한 홈페이지 취약점 점검 안내서”에서 추천하고 있습니다. 거기다가 계속되는 Upadte, 무료, Proxy기능을 제공, 동적 SSL지원 등 기능이 많고 단점은 상용화 도구와 비교 할때 성능적인 부분과 안정도의 차이가 있습니다. 

제가 실제로 사용해 본 결과 짧게 테스트 해도 기본정책으로 30분 길게는 1시간 넘게 걸리가다 프로그램 멈추기도 했습니다.

OWASP ZAP 웹 취약점 점검 기준은 아래와 같습니다.

[information Gathering]

* Backup File Disclosure

* Cookie Slack Detector

* Directory Browsing

* ELMAH Information Leak

* Heartbleed OpenSSL Vulnerability

* Possible Username Enumeration

* Proxy Disclosure

* Remote Code Execution - CVE-2012-1823

* Source Code Disclosure - /WEB-INF folder

* Source Code Disclosure - CVE-2012-1823

* Source Code Disclosure - File Inclusion

* Source Code Disclosure - Git

* Source Code Disclosure - SVN

* Trace.axd Information Leak

* User Agent Fuzzer


[Miscellaneous]

* An example active scan rule which loads data from a file

* Example Active Scanner: Denial of Service

* External Redirect

* Generic Padding Oracle

* GET for POST

* HTTP Only Site

* HTTPS Content Available via HTTP

* Script Active Scan Rules

* Session Fixation


[injection]

* Advanced SQL Injection

* Buffer Overflow

* CRLF Injection

* Cross Site Scripting (Persistent)

* Cross Site Scripting (Persistent) - Prime

* Cross Site Scripting (Persistent) - Spider

* Cross Site Scripting (Reflected)

* Expression Language Injection

* Format String Error

* HTTP Parameter Pollution scanner

* Integer Overflow Error

* LDAP Injection

* Parameter Tampering

* Remote OS Command Injection

* Server Side Code Injection

* Server Side Include

* SQL Injection

* SQL Injection - Hypersonic SQL

* SQL Injection - MsSQL

* SQL Injection - MySQL

* SQL Injection - Oracle

* SQL Injection - PostgreSQL

* SQL Injection - SQLite

* XML External Entity Attack

* XPath Injection


[Server Security]

* Anti CSRF Tokens Scanner

* Apache Range Header DoS (CVE-2011-3192)

* Cross-Domain Misconfiguration

* Httpoxy - Proxy Header Misuse

* Insecure HTTP Method

* Path Traversal

* Relative Path Confusion

* Remote Code Execution - Shell Shock

* Remote File Inclusion



이제 대충 OWASP ZAP에 대해서 알아 보았으니 설치 방법을 알아 보죠 ㅎㅎ

2017년 12월 기준으로 벌써  2.7 버전이 나왔습니다. 우선 아래의 보이는 사이트가서 자신이 설치하고 싶은 사양에 맞추어서 다운로드를 

받습니다.


저는 windows으로 다운을 받았고 기본 설치로 next로 진행했습니다. 그렇다면 아래와 같은 설치 화면을 볼수가 있습니다.

그 다음에 해야 할 것은 proxy를 설치 해야 합니다. 저는 크롬으로 테스트를 할 예정이기 때문에 크롬 프로그인을 받습니다.

플러그인 설치가 완료가 되면 host에 127.0.0.1, port에는 8080을 입력합니다. 설치한 후에는 "proxy is working"을 ON으로 해줍니다.

만약 크롬으로 테스트를 안한다면...아래의 화면처럼 윈도우에 인터넷 속성으로 맞추어도 됩니다.

그럼 다시 owasp zap으로 돌아와서 상단에서 Help-> check for updates 클릭, installed탭에서 update all 클릭, marketplace탭에서 아래의 4개의 옵션을 클릭를 합시다. Active Scanner rules(alpha), Active Scanner rules(beta), Advanced SQL Injection, Port Scanner 

기본 정책 개수가 너무 작기 때문에 아래의 정책을 받는게 맞는 것 같습니다. 또한 위에서 제가 이야기한 웹 취약점 점검 기준이라는 것이 총4개의 정책을 다 받은 개수입니다.


상단에서 Tools => options 선택, Local Proxy를 선택하여 Proxy 설정에서 입력한 주소를 입력합니다.


이제 상단에서 Tools => options 선택, connection 클릭 후 자신이 검색할 브라우져 버전을 맞추어 줍니다.


이제 다되었습니다. 공격대상(URL)에 점검하고 싶은 주소를 넣거나.. 아니면 LaanchBrowser를 클릭하여 해당 브라우져에서 점검하면 됩니다.

[참고1] 해당 OWASP ZAP은 자신의 테스트 서버에서 해야 합니다. 안 그렇다면 사이트에 디도스 공격을 하기때문에 

경찰서에 갈수있습니다.(ㅋㅋㅋ) 꼭! 자기의 웹사이트에 웹 취약점 점검툴로 사용합시다.

[참고2] 만약 테스트를 제대로 하고 싶다면 스스로가 직접 CRUD를 웹 사이트에서 해야합니다. 그래야지 자세하게 점검합니다.

예를들어 로그인만 하면 로그인 관련해서만 점검을 하는 것 같습니다.


OWASP ZAP의 별거 아닌 설치 및 시작 메뉴얼이지만 이것을 이해하기 위해서 저는 eBook으로 "오픈소스 도구를 활용한 웹 모의해킹과 침해대응" 책도 사보고  공개도구를 이용한 홈페이지 취약점 점검 안내서.pdf도 열심히 읽어 보았습니다. 그리고 첫 테스트까지 5시간이나 걸리더라구요.

하이튼 웹 취약점 점검을 하는데 조금이라도 도움이 되었으면 좋겠습니다.

감기 조심하세요^^


댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
«   2024/03   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
글 보관함