안녕하세요
OWASP ZAP 사용법에 대해 문의 드려요
웹 페이지 취약점 분석할때...
예를들면, www.domain.com라는 주소를 입력하여 스캔을 돌리면 그 뒤에 모든 경로들까지 싹 다 스캔을 하는 방식인가요?
아니면 특정경로를 일일히 지정을 해줘야할까요?
그러니까...www.domain.com 도메인 따로 www.domain.com/#/~11 도메인 따로...
www.domain.com/test/test/index.phph 도메인 따로...
이런식으로 해야할까요?
그리고 로그인이 필요한 페이지까지 다 스캔하는지도 궁금합니다!!
2개의 답변이 있습니다.
OWASP(Open source Web Application Security Project) ZAP ( Zed Attack Proxy )은
취약점을 점검하는 툴이되겠고요.
웹이라는 것은 인터넷 상에 노출 시켜둔 서버가 되겠는데요.
노출된 서버는 일반적인 사용자 뿐만 아니라 해커도 접속할 수 있게 열려 있는 서버이겠는데...
노출된서버 이지만 노출되어도 되는 정보와 노출되어서는 안되는 정보 등을 얼마나 엄격하게 잘 제한 시켜두어서 외부 접속자가 정상적인 접속 뿐만 아니라 비정상적인 접속시에도 접근하지 말아야 하는 정보에 접근할 수 없도록 차단 설정되어 있느냐가 보안에 있어 중요한 요소라 할 수 있겠고요.
예를 들어 보면 초창기 웹 서버들은 웹의 홈 디렉터리에 대한 브라우징이 가능해서 URL 주소에 파일명을 지정하지 않고, 디렉터리까지만 지정해서 홈페이지에 접속할 경우에 웹 브라우저를 통해서 웹에 공개해둔 디렉터리 안에 어떤 파일들이 있고, 하부에 어떤 디렉터리들이 있는지 쭉~ 보여 주었는데... 요즘은 보안 설정으로 디렉터리에 대한 브라우징을 할 수 없도록 해 두는게 기본이죠. 그럼에도 불구하고 아직도 디렉터리에 대한 브라우징을 차단하지 않고 열어둔 웹 페이지들도 간혹 있는데 보안 점검 툴은 이런 것도 점검을 해서 문제점을 알려 주게 되겠고요.
웹 페이지가 암호화되지 않은 평문으로 전달되는게 기본적인데, 보안적인 내용으로 외부 노출을 줄이려면 암호화된 웹 문서가 전달되게 하는지도 점검하게 되겠고요.
웹서버의 최신 패치 적용 여부, Log4j 처럼 알려진 취약점이 아직 패치 되지 않고 있는지 등에 대한 점검, SQL Injection, cross site scripting 등의 취약점이 있도록 코딩을 한 것이 아닌지 등등의 다양한 보안 점검을 해서 결과에 대한 내용을 정리해서 알려 주겠고요.
위에 첨부한 이미지 처럼 점검 대상 URL을 넣어서 공격 Test를 해 본다면 가상의 해커가 되어서 다양한 공격 시도를 해 본 후에 결과를 알려 주게 되겠죠.
아래 링크의 PDF 문서를 참조하면 더 자세한 사용법을 알 수 있을것 같네요.
https://www.zaproxy.org/pdf/ZAPGettingStartedGuide-2.11.pdf
wansoo | 일 년 이상 전
Spider 옵션을 2가지 제공하고 있죠.
지정한 URL에서 HTML로 작성된 페이지를 분석해서 발견된 Link들을 따라가면서 점검하는 옵션과 Java Script 수행 결과로 생성된 Link를 따라가면서 점검하는 옵션을 지정할 수 있겠고요.
wansoo | 일 년 이상 전
로긴이 필요한 페이지는 자동 점검은 안되겠고, 수동 탐색 방법을 이용해서 웹 브라우저를 실행시켜서, 로긴 등의 개입이 필요한 시점에 직접 수작업으로 처리해서 ZAP과 상호 작업으로 점검을 진행해야 하겠고요.
제가 알기로 옵션이 있습니다.
옵션에 directory browsing, 보안 점검 강도 등 다양하게 선택해서 수행할 수 있습니다.
다만, 테스트 환경이 있다면 테스트 환경에서 먼저 수행해보세요.
점검 강도가 높은 경우 라이브환경 성능에 영향을 주는 경우도 있습니다.
저희는 상용 툴을 사용하는데 업무량이 적은 시간이 수행하고 있습니다.