OWASP Zed Attack Proxy

“웹 애플리케이션의 취약점 점검 , 개발자의 프로그램 분석에 도움이 되는 OWASP Zed Attack Proxy를 소개합니다. “

The OWASP Zed Attack Proxy (ZAP) is one of the world’s most popular free security tools and is actively maintained by hundreds of international volunteers*. It can help you automatically find security vulnerabilities in your web applications while you are developing and testing your applications. Its also a great tool for experienced pentesters to use for manual security testing.

공식사이트 : https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
다운로드 : https://github.com/zaproxy/zaproxy/wiki/Downloads


1. OWASP ZAP 윈도우 PC 설치
 1) JDK 또는 JRE 설치 (Windows 오프라인 64비트 다운받아 설치합니다.)
2) https://github.com/zaproxy/zaproxy/wiki/Downloads에서 다운로드 하여 설치합니다.

2. 프록시 설정
1) OWASP ZAP가 실행되면 localhost:8080으로 프록시 작동되도록 되어 있습니다.
Tools > Options > Local Proxy 에서 프록시 설정을 확인할 수 있으며 IP, Port 를 변경할 수 있습니다.
2) 크롬에서 쉽게 프록시 설정하기 위해 플러그인을 설치합니다.
주소창에 chrome://extensions/ 입력합니다. ‘더 많은 확장프로그램 다운로드’를 클릭하여 웹스토어에서 Falcon Proxy를 설치합니다.
3) 크롬 주소창 오른쪽에 Falcon Proxy 아이콘이 생성되었습니다. 클릭 후 팝업창에서 ‘Click here’ 클릭합니다.
Name에 Local ZAP Proxy 등으로 입력하고 호스트에 127.0.0.1, Port에 8080 입력하여 Create 합니다.

설정한 프록시 셋팅을 활성화 하고 상단 아이콘에서도 활서화 하면 됩니다.
4) 이제 사용자->크롬브라우저->OWASP ZAP->웹 애플리케이션 구성이 완료 되었습니다.
크롬에서 브라우징 시 사용자의 Request 와 서버의 Respose 가 OWASP ZAP 에 보여집니다.

3. 공격
1) 4가지 공격모드(Safe, Protected, Standard, Attack)가 있습니다. 공격은 반드시 테스트 허가된 응용 프로그램에만 합니다.
2) 메인창 빠른 시작 에서 공격대상 URL 을 입력하고 진행하거나 프록시 모드로 사용시 좌측 Sites Map 에서 URL 을 선택하여 ① 공격 > Spider 탐색 후 ② 공격 > Active Scan 합니다.
3) 하단 ‘경고’탭에 응용 프로그램의 취약점이 출력 됩니다.
4) 보고서 출력은 ‘보고서 > Generate XML Report’ 등으로 가능합니다.

4. Request 변조
1) 프록시 설정으로 브라우저 접속하여 상단 Break 아이콘을 클릭하거나 Ctrl+Alt+B 입력합니다.

2) 다음 Request (또는 Response) 승인은 Ctrl+S 입력합니다. 

 3) Request 탭에서  변조할 값으로 수정 후 Ctrl+S 또는 Ctrl+C 합니다.

5. 인코드/디코드
1) Tools > Encode/Decode/Hash 또는 Ctrl+E로 변환 가능합니다.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.