[OWASP ZAP] 웹취약점 동적분석 툴 Dynamic analysis of web vulnerabilities Tool

상황

• 웹 어플리케이션을 실행환경에서 동적분석을 해야 할 일이 생겼다.

 

처리방법

- OWASP ZAP 설치

• 아래 OWASP ZAP 사이트에서 설치 파일을 다운로드 한다.

OWASP ZAP 설치파일 다운로드

• 설치 파일을 다운로드 했으면 설치를 진행한다.

설치파일

• 설치를 진행하다 보면 11버전이상 JRE 환경에서 돌아가니까, 어딨는지 위치를 잡아달라고 뜨는데..

JRE11이상 설치 또는 환경변수로 잡혀있다면 아마 위 메시지는 뜨지 않는다.

• 아래 사이트에서 JDK11을 다운받는다.

openJdk 11 다운로드

• 다운로드가 끝났으면, 적당한 위치에 압축을 풀어준다. (나중에 환경변수로 해당 위치를 잡아야 되니 위치 잘 생각해주세요)

• 그리고  아까 JRE 위치 잡아달라는 팝업으로 돌아가서, Locate버튼을 눌러서, Jdk 압축푼 폴더로 이동해서, bin폴더 아래 java.exe 파일을 선택해 준다.

• 언어를 선택하고 ok버튼을 눌러준다 (한국어는 없다.)

알아들을수 있는 언어를 선택하자.

인스톨이 끝날때 까지 기다려준다.

• 인스톨이 끝나면 바탕화면에 OWASP ZAP 라는 번개모양 아이콘이 생겼을 텐데.. 더블클릭해서 실행시켜보자

더블클릭!

• 만약 아래와 같은 메시지가 뜨면  Oracle Java 인스톨 페이지가 open되는데.. 라이선스 뭐 문제가 있을 수 있으니, 그냥 설치하지 말고 그냥 위에 openJDK 압축 풀어놨던 폴더를 환경 변수로 잡아주자

• 환경변수 추가는 다음과 같이 하면 된다.
  (시스템 속성 > 환경변수 버튼클릭 > 환경변수 팝업 > 사용자 변수 Path > jdk/bin 폴더 추가)

• 환경변수까지 설정해도 바탕화면에 OWASP ZAP 라는 번개모양 아이콘을 클릭해보면 실행이 안된다.
• 그럴땐 그냥 OWASP ZAP이 설치된 폴더로 가서 zap.bat파일을 실행하면 된다.

 

- OWASP ZAP 실행

• bat파일을 실행하면, 터미널창이 열리는데 좀 기다리면 OWASP ZAP 프로그램이 정상적으로 실행이 된다.
• 실행되면 뭔가 묻는 팝업이 뜨는데.. 의미는 다음과 같다. 나는 첫번째를 선택했다.

ZAP세션을 유지하시겠습니까?
o 예, 현재 타임스템프에 기반한 이름으로 이 세션을 유지한다.
o 예, 이 세션을 유지하지만 이름과 위치를 지정한다.
o 아니오, 현재 이 세션을 유지하고 싶지 않다.
ㅁ 나의 선택을 기억하고 다시 묻지마라.
옵션 / 데이터베이스 화면에서 언제든 결정을 변경할 수 있다.

확인

• 실행은 제대로 했으니, 웹 취약점 동적분석을 해보자.
  (물론 설정을 통해 더 디테일하게 꼼꼼하게 분석할 수도 있다.)
• 실행 후 첫화면에 보면 빠른시작이 보이는데, 여기서 공격(점검)할 사이트 주소를 "URL to attack"에 입력하고 공격(점검)버튼을 누르면 점검이 시작된다.

 

사이트 URL을 입력하고 공격 버튼을 누르면 하단에 프로그래스바가 움직이면서 점검을 시작한다.

• 공격이 끝나고 나면 점검결과를 보여주는데.. 취약한 부분은 확인 후 조치를 취한다.
  (오탐도 많으니 훝어보고 한번은 확인하여 걸러줘야 한다.)

• 만약에 취약점 점검 결과가 문서같은걸로 필요하다면 상단메뉴에서 보고서 > Generate Report ... 버튼을 누르면, Report를 Html로 추출해준다.

• Generate Report 로 추출한 Html을 실행한 화면, 내려보면 검출된 취약점들과 해당 취약점의 솔루션도 가이드해준다.