- OS : Windows 10 Pro
- 준비 프로그램
- OWASP ZAP
- Firefox
1. 프로그램 설치
- OWASP ZAP 공식 사이트( https://www.zaproxy.org/download )에서 OS에 맞는 버전으로 설치
- Firefox 공식 사이트( https://www.mozilla.org/ko/firefox/new )에서 설치
2. 초기 셋업
- OWASP ZAP 실행 후 Tools - Options
- Connection - Use Proxy Chain - Port에서 Proxy 포트 지정
- Dynamic SSL Certificates - Generate - CA 인증서 생성 - 확인
- Firefox 실행 - 설정
- 네트워크 설정 - 설정
수동 프록시 설정 - 각 환경에 맞게 구성
4. 취약점 점검 테스트
- Firefox 실행 - 취약점 점검을 할 주소 입력
( http면 http로 입력해야 함, 자동으로 https로 바뀌지만 대상 서버에 인증서가 없어도 됨 )
- OWASP ZAP Sites에서 점검 할 주소가 제대로 보이는지 확인
- Sites에서 점검 할 대상 - 마우스 우클릭 - 공격 - Active Scan
- 취약점 점검 요소 선택
- URL Query String & Data Driven Nodes : Query String을 서버에 요청, 취약점 점검
- Post Data : Post Data를 서버에 요청, 취약점 점검
- URL Path : Path Traversal 등 점검
- 전체 선택을 해도 무방하나 점검 시간을 단축시키고 싶다면 점검 할 서버 구성에 맞는 것만 선택
- 공격 강도, 요청 수 조절 기능 기본값은 Medium
- 모든 선택이 완료되었다면 Start Scan
- Active Scan 진행률, 검출된 취약점 확인
- 취약점 보고서 출력
출처 : https://ta-starter.tistory.com/63
