OWASP-ZAP 웹 스캐닝

ி OWASP-ZAP

 

owasp-zap(Zed Attack Proxy)은 웹앱의 취약점을 스캔하는 도구이다.

서비스 디렉토리 구조 파악,
서비스 불필요한 페이지 존재 확인,
서비스 페이지 내 버전정보 확인,
인증없이 접근하는 페이지 등을 확인할 수 있다.

# owasp-zap

 

처음 실행 시 owasp 세션을 저장할 지 묻는다.

세 번째 옵션을 선택하면 저장하지 않는다.

ி 업데이트 진행

 

[Help] → [Check for Updates] → [Installed] → Update가 표시된 플래그 모두 선택
[Help] → [Check for Updates] → [Marketplace] → 원하는 항목 선택
[Help] → [Check for Updates] → [Update Selected]
[Help] → [Check for Updates] → [Install Selected]

필자가 마켓플레이스에서 선택한 항목은 아래와 같다.

Directory List v2.3, v2.3 LC
Active scanner rules (beta)
Advanced SQLInjection Scanner
Port Scanner
Dom XSS Active scanner rule

ி 프록시 설정

 

 

OWASP-ZAP에서 로컬 프록시를 설정하고 Ok 버튼을 누른다.

ி 자동 진단

 

대상 - http://192.168.2.131/mutillidae/?page=add-to-your-blog.php

 

Zap을 시작하고 '빠른 시작'탭에서 자동 스캔(Automated Scan) 버튼을 클릭한다.

공격 할 URL 텍스트 상자에 공격하려는 웹앱의 전체 URL을 입력하고 

attack 버튼을 클릭한다.

 

자동 진단 순서는 스파이더로 웹앱을 크롤링하고 찾은 각 페이지를 스캔한다. 

그 다음 활성 스캐너를 사용하여 발견 된 모든 페이지, 기능 및 매개 변수를 공격한다.

 

 

Spider

 

페이지 내에 노출된 링크들을 점검하여 디렉터리 구조들을 보여준다.

Forced Browsing

 

Dictionary 공격을 이용한 웹 디렉터리 스캔 방식으로 Spider에서 탐지 못한 디렉터리도 탐지 가능하다.
fuzzing 파일은 아래 사진에 나오는 경로에 저장되어있다.

사전 파일을 선택한 후 시작한다.

Active Scan

 

대상 서버에 스크립트 혹은 명령어를 직접 전달하여 결과를 확인하는 스캐닝 기법이며
로그가 남는 스캔 방식이다.

Alerts

 

잠재적 취약점이 존재하는 공격을 보여준다.
경고는 위험도가 높은 순서로 표시된다.

Report

 

진단 결과를 원하는 형식으로 보고서 형태로 추출한다.