본문 바로가기

도구

[도구] 오픈소스 웹취약점 점검도구 - OWASP ZAP(Zed Attack Proxy) 프록시(Proxy) 설정

 

zap 공식 홈페이지(https://www.zaproxy.org/)

 

OWASP ZAP  이라고도 하고

ZAP 이라고도 말하는것 같습니다.

 

웹취약점 점검 도구로 가장 많이 사용하고 있습니다.

오픈소스 입니다.

https://github.com/zaproxy

 

ZAP

ZAP has 43 repositories available. Follow their code on GitHub.

github.com

 

홈페이지에서 다운로드 하고 설치를 해줍니다.

 

보통  ZAP을 사용하시는 이유는

개발하고 있는 웹 페이지의 보안성을 점검하기 위해서 입니다.

웹 제품의 경우 GS 인증에서는 보안성에서 

필수 시험항목으로 SQL Injection, Cross Site Scripting(XSS) 가 있습니다.

GS인증 기관에서는 Netsparker, Acunetix 를 사용해서 검증을 합니다.

하지만 유료 도구입니다. 매년 라이선스를 구매해서 사용해야 합니다.

 

회사에서 구매하기란 쉽지가 않습니다.

그래서 Zap을 가장 많이 사용합니다.

저도 오픈소스 웹취약점 점검 도구 중에서는 Zap이 가장 좋았습니다.

 

서두가 길었습니다.

 

Proxy 설정을 해줘야지 Zap을 사용할 수 있습니다.

Proxy 설정을 해주는 이유는 분석하기 위함입니다.

중간에서 가로채서 분석을 해주는 역할

 

간단히 위의 그림과 같이 동작을 한다고 생각하면 좋을것 같습니다.

Proxy 설정을 하면 Zap에서 웹 브라우저와 웹어플리케이션 사이에 트래픽을 가르채서 분석을 할 수 있습니다.

 

파이어 폭스(Firefox) 브라우저에 프록시 설정하는 방법을 알아보겠습니다.

 

1. 파이어 폭스를 다운로드 받고 설치를 합니다. (공식홈페이지 : https://www.mozilla.org/ko/firefox/new/)

Firefox Browser  공식 홈페이지 (https://www.mozilla.org/ko/firefox/new/)

 

2. 파이어폭스 브라우저를 실행합니다.

3. 화면 오른쪽 상단에 '애플리케이션 매뉴 열기'  버튼을 클릭합니다. 그리고 '설정' 버튼을 클릭합니다.

 

4. 일반 메뉴에서 밑으로 스크롤을 내리면 제일 하단에 '네트워크 설정 - 설정' 버튼을 클릭합니다.

일반 - 네트워크 설정 - 설정

 

5. 연결 설정 - 인터넷 프록시 접근 설정을 아래와 같이 합니다. 

'수동 프록시 설정'

HTTP 프록시 에서 '127.0.0.1' 입력, 포트는 '8080'으로 입력

'HTTPS에도 이 프록시를 사용' 체크해줍니다.

수동 프록시 설정

6. 입력 완료후에 '확인' 버튼을 클릭합니다.

7. 파이어폭스를 종료를 한다음 다시 실행을 합니다.

파이어폭스 브라우저에서 프록시 서버 연결 거부

 

8. 위와 같이 프록시 서버가 연결을 거부함 이라고 화면 출력이 된다면?

9.  설치된 Zap프로그램을 실행합니다.

 

10. 파이어폭스 브라우저에서 '다시시도' 버튼을 클릭합니다.

아래와 같이 브라우저 왼쪽, 오른쪽 하단에  zap  기능이 추가된 것을 확인할 수 있습니다.

 

11. 혹시 위와 같이 동작을 안한다면, 인증서를 설치해야 합니다.

인증서 설치는 다음 시간에 준비하도록 하겠습니다.

 

 

김영찬 (소프트웨어 품질 전문가)

(재)전주정보문화산업진흥원(JICA)

소프트웨어 개발자로 10년간 발로 코딩 하다가 한계를 느끼고, 

2015년부터 소프트웨어 품질에 몸을 담고 기업을 돕고 있음

email.  sweng@jica.or.kr  / tel. 063-281-4113

주업무 : 소프트웨어 품질 컨설팅, 테스팅,  KOLAS 기술책임자, 개발자 네트워크 운영

자격

  - SP, CMMI, VSE(ISO 29110), ISMS(ISO 27001) 인증 심사원

  - AIT, ISTQB FL, CSTS, 29119 외 다수