본문 바로가기

도구

(3)
[도구] 오픈소스 웹취약점 점검도구 - OWASP ZAP(Zed Attack Proxy) 프록시(Proxy) 설정 OWASP ZAP  이라고도 하고ZAP 이라고도 말하는것 같습니다. 웹취약점 점검 도구로 가장 많이 사용하고 있습니다.오픈소스 입니다.https://github.com/zaproxy ZAPZAP has 43 repositories available. Follow their code on GitHub.github.com 홈페이지에서 다운로드 하고 설치를 해줍니다. 보통  ZAP을 사용하시는 이유는개발하고 있는 웹 페이지의 보안성을 점검하기 위해서 입니다.웹 제품의 경우 GS 인증에서는 보안성에서 필수 시험항목으로 SQL Injection, Cross Site Scripting(XSS) 가 있습니다.GS인증 기관에서는 Netsparker, Acunetix 를 사용해서 검증을 합니다.하지만 유료 도구입니다. ..
[도구] 오픈소스 웹취약점 점검도구 - OWASP ZAP(Zed Attack Proxy) 1. OWASP Zed Attack Proxy 홈페이지를 접속합니다.2. ZAP을 다운로드 합니다. 설치 환경에 맞게 다운로드합니다.3. 다운로드 파일을 실행합니다.4. 언어를 선택합니다.5. 'Next'버튼을 클릭합니다.6. 라이센스 동의를 선택하고 'Next'를 클릭합니다.7. 'Standard Installation'을 클릭합니다.8. 'Install'을 클릭합니다.9. 'Finish'를 클릭합니다.10. 프로그램을 실행합니다.11. Automated Scan 버튼 클릭12. URL을 입력하고 'Scan'을 시작합니다.13.결과리포트는 '보고서-Generate HTML Report' 선택하여, 폴더를 선택하고 리포트를 생성합니다.추천링크1. 공식 홈페이지https://www.zaproxy.org/2..
[도구] 오픈소스 웹취약점 진단도구 - Arachni 웹취약점 진단도구로 가장 많이 사용되는 것은Acunetix가 아닐까 생각이 듭니다.사용하면 좋은데 비용이 꽤 높습니다.거기다가 1년단위 라이센스라서 매년 (600만원 이상) 비용이 필요합니다.대안은 오픈소스인데, 검색을 해본결과Ruby언어로 개발된 Arachni를 선택하였습니다.공식 웹페이지입니다.https://www.arachni-scanner.com/오픈소스는 github에 있습니다.https://github.com/Arachni/arachni-ui-web공식 웹페이지에서 상단 'download'메뉴로 가서windows버전을 다운로드 받습니다.적당한 곳에 파일을 복사하고, 실행하면 압축이 해제되면서폴더가 생성됩니다.  arachni-1.5.1-0.5.12-windows-x86_64\bin압축 해제된 ..