- OS : Windows 10 Pro

- 준비 프로그램

• OWASP ZAP
• Firefox

 

 

1. 프로그램 설치

 

 

- OWASP ZAP 공식 사이트( https://www.zaproxy.org/download )에서 OS에 맞는 버전으로 설치

 

 

 

- Firefox 공식 사이트( https://www.mozilla.org/ko/firefox/new )에서 설치

 

 

 

2. 초기 셋업

 

 

- OWASP ZAP 실행 후 Tools - Options

 

 

 

- Connection - Use Proxy Chain - Port에서 Proxy 포트 지정

 

 

 

- Dynamic SSL Certificates - Generate - CA 인증서 생성 - 확인

 

 

 

- Firefox 실행 - 설정

 

 

 

- 네트워크 설정 - 설정

 

 

 

수동 프록시 설정 - 각 환경에 맞게 구성

 

 

 

4. 취약점 점검 테스트

 

 

- Firefox 실행 - 취약점 점검을 할 주소 입력

( http면 http로 입력해야 함, 자동으로 https로 바뀌지만 대상 서버에 인증서가 없어도 됨 )

 

 

 

- OWASP ZAP Sites에서 점검 할 주소가 제대로 보이는지 확인

 

 

 

- Sites에서 점검 할 대상 - 마우스 우클릭 - 공격 - Active Scan

 

 

 

- 취약점 점검 요소 선택

• URL Query String & Data Driven Nodes : Query String을 서버에 요청, 취약점 점검
• Post Data : Post Data를 서버에 요청, 취약점 점검
• URL Path : Path Traversal 등 점검

 

 

 

- 전체 선택을 해도 무방하나 점검 시간을 단축시키고 싶다면 점검 할 서버 구성에 맞는 것만 선택

 

 

 

- 공격 강도, 요청 수 조절 기능 기본값은 Medium

- 모든 선택이 완료되었다면 Start Scan

 

 

 

- Active Scan 진행률, 검출된 취약점 확인

 

 

 

- 취약점 보고서 출력

 

출처 : https://ta-starter.tistory.com/63