ZAP

ZAP

OWASP

ZAP(잽)이란 "Zed Attack Proxy"의 약자로서, 오픈 소스 웹 애플리케이션 보안 스캐너 이다.^[1] 간단히 요약하면 개발단계에서 손쉽게 보안 취약점을 발견하고 조치할 수 있도록 하는 오픈소스 제품이다.^[2] 이 프로젝트는 OWASP(Open Web Application Security Project) 프로젝트 중 하나이고, 플래그 십 상태를 받았다.^[1]

개요

OWASP ZAP는 세계에서 가장 인기있는 무료 보안 도구 중 하나이며 오픈소스로 공개되어 있으며 깃허브에서 해당 파일을 받을 수 있다. 여러 국가에서 프로그래머들이 자발적으로 유지보수를 지원하고 있기 때문에 유연성과 확장성이 뛰어나다는 장점이 있다. ZAP는 브라우저와 웹 애플리케이션 사이에 전송된 메시지를 가로채고 검사할 수 있도록 테스터의 브라우저와 웹 애플리케이션 사이에 있으며 중간자 역할을 수행한다. 필요한 경우 내용을 수정한 다음 그 패킷들을 목적지에 전달할 수 있다. 2010년에 1.0.0 버전이 처음 출시됐으며 2020년 현재는 2.9.0 버전이 출시되었다. 출시된 이래로 ZAP 사용량은 꾸준하게 증가해 왔으며 2020년 3월 기준 ZAP는 85,000회 이상 다운로드 되었고 ZAP Docker 이미지는 220,000회 이상 받아졌으면 100만번 이상 실행되었다. ZAP 데스크탑의 국가별 사용량 순위는 1위가 미국, 2위가 인도, 3위가 일본이며, ZAP 데몬의 국가별 사용량 순위는 1위가 미국, 2위가 호주, 3위가 독일이다.^[3]

2011년에는 올해의 툴 스미스 툴로 뽑혔다.ToolsWatch.org 독자가 2013년에는 최고의 보안도구로, 2014년 최고의 보안도구 2위로 뽑았다. 2015년 Bossie Award에서 오픈 소스 네트워킹 및 보안 소프트웨어로 언급 된 OWASP 도구 중 하나이다.^[1]

기능

프록시

애플리케이션과 브라우저간의 HTTP 통신 내용을 저장한다.

보안 진단을 위해 요청을 보내면 응답 데이터를 시각화 한다.^[2]

스파이더

전체 웹 애플리케이션에 대한 정보를 수집한다.

비공개 파일이나 디렉토리의 유무를 확인한다.^[2]

정적/동적 검색

다양한 취약점을 자동으로 감지한다.^[2]

Fuzzer

기본적인 정적/동적 스캔으로는 검출이 어려운 취약점을 수동으로 검색한다.^[2]

애드온 Script

애플리케이션 고유의 기능에 대응하는 진단 도구를 작성한다.^[2]

ZAP API

검색과 스파이더 등 외부에서 다양한 기능을 조작하여 진단 작업을 완벽하게 자동화 한다.^[2]

특징

유연성 & 확장성 :

웹 애플리케이션의 취약점

SQL이나 운영체제 명령을 주입하는 등 서버를 목표로 하는 입력 기반 취약점

크로스 사이트 스크립트(XSS)같은 클라이언트 측을 목표로 하는 입력 기반 취약점

웹 애플리케이션과 브라우저 중간에서 비밀번호나 쿠키를 암호화하지 않고 전송하는 등 요청과 응답 주기를 조사해서 식별할 수 있는 취약점^[4]

스캐너가 발견하지 못하는 취약점

취약한 비밀번호
의미있는 매개변수 이름
저장된 SQL Injection(2차 SQL Injection)
여러 단계의 저장된 XSS
강제 브라우징(디렉토리와 파일을 무작위로 공격한다.)
세션 공격
논리 결함^[4]

OWASP ZAP 사용법

간단 사용법

빠른 시작에 대상 사이트 URL을 넣어서 실행한다.
Sites 탭에 탐색된 페이지 주소가 나타난다.
Alert 탭에 사이트의 취약점 종류와 해당 페이지 정보가 나타난다.^[5]

기본 사용법

브라우저 프록시 설정을 통해 방문하는 사이트의 취약점을 분석한다.
로그인 세션이 필요한 페이지를 설정할 수 있다.

프록시 설정: ZAP Tools에서 Options에 들어가고, Local proxy에서 Port를 8082로 설정한다.; 브라우저와 ZAP의 프록시 설정을 마치면, 브라우저에서 호출되는 모든 URL에 대해 보안 취약점을 분석한다.^[5]

로그인 설정: ZAP에서 새로운 세션을 시작한다.; 브라우저에서 로그인 페이지로 이동한 후 로그인을 한다.; 세션을 위해서 컨텍스트를 설정한다.; 대상 사이트를 선택하고 Include in Context에서 1을 선택한다.; 확인을 한 후 닫는다.; 로그인 처리 주소 선택을 한다. Flag as Context > 1:Form-based Auth Login request 선택; Authentication 메뉴에서 Username, Password의 파라미터를 지정한다.; User 메뉴에 로그인 할 사용자의 정보를 입력한다.; Authentication 메뉴로 돌아가면 파라미터의 값이 변경된 것을 확인할 수 있다.^[5]

취약점 스캔: 브라우저에서 가능한 모든 링크를 클릭한다.; ZAP에 사이트 주소들이 수집되고, 수집된 URL을 기준으로 취약점을 스캔한다. Attack > Active Scan all in Scope; Active Scan 탭이 열리면, 대상 사이트를 선택하고, Start Active Scan 아이콘을 누른다.; Show scan progress details 아이콘을 누르면 현재 진행상황을 볼 수 있다.^[5]

취약점 리포트: 취약점이 있는 경우, URL 앞에 4단계의 깃발이 표시된다.; 깃발이 붉은색일수록 위험한 취약점을 뜻한다.; Alerts 탭에 종류별로 취약점과 해당 페이지 목록이 나타난다.; 항목 선택시에 보여지는 매개변수와 공격값, 설명과 해결방법, 참조 사이트 등을 통해서 취약점을 보완한다.^[5]

각주

↑ ^1.0 ^1.1 ^1.2 OWASP ZAP 위키피디아 - https://en.wikipedia.org/wiki/OWASP_ZAP
↑ ^2.0 ^2.1 ^2.2 ^2.3 ^2.4 ^2.5 ^2.6 〈OWASP ZAP - DevOps를 위한 Self웹취약점 점검 도구 소개〉, 《오픈나루》
↑ zaproxy, 〈zaproxy / zaproxy〉, 《깃허브》
↑ ^4.0 ^4.1 사이테일, 〈웹 애플리케이션 사전조사 및 스캐닝(2) - ZAP(Zed Attack Proxy)〉, 《티스토리》, 2015-04-14
↑ ^5.0 ^5.1 ^5.2 ^5.3 ^5.4 〈Zed Attack Proxy(ZAP)〉, 《OKdevTV》

참고자료

OWASP ZAP 위키피디아 - https://en.wikipedia.org/wiki/OWASP_ZAP
zaproxy, 〈zaproxy / zaproxy〉, 《깃허브》
〈OWASP ZAP - DevOps를 위한 Self웹취약점 점검 도구 소개〉, 《오픈나루》
사이테일, 〈웹 애플리케이션 사전조사 및 스캐닝(2) - ZAP(Zed Attack Proxy)〉, 《티스토리》, 2015-04-14
〈Zed Attack Proxy(ZAP)〉, 《OKdevTV》

같이 보기

이 ZAP 문서는 보안에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[.EC.9C.84-1] 1.0 ^1.1 ^1.2 OWASP ZAP 위키피디아 - https://en.wikipedia.org/wiki/OWASP_ZAP

[.EC.98.A4-2] 2.0 ^2.1 ^2.2 ^2.3 ^2.4 ^2.5 ^2.6 〈OWASP ZAP - DevOps를 위한 Self웹취약점 점검 도구 소개〉, 《오픈나루》

[.ED.97.88-3] zaproxy, 〈zaproxy / zaproxy〉, 《깃허브》

[.ED.8B.B0-4] 4.0 ^4.1 사이테일, 〈웹 애플리케이션 사전조사 및 스캐닝(2) - ZAP(Zed Attack Proxy)〉, 《티스토리》, 2015-04-14

[.EC.BC.80-5] 5.0 ^5.1 ^5.2 ^5.3 ^5.4 〈Zed Attack Proxy(ZAP)〉, 《OKdevTV》

[1]

[2]

[3]

[4]

[5]

위키

이름공간

변수

보기

더 보기

검색

ZAP

목차

개요

기능

프록시