웹 애플리케이션의 보안 취약점을 테스트하기 위해 그동안 Paros 란 프로그램을 사용해 왔었는데, 안타깝게도 이 프로그램이 업데이트가 되지 않은지 너무 오래돼서 최신의 보안 취약점 검사에는 한계가 있어 이번에 다시 한번 열심히 검색해서 제 나름 기준으로 꽤 좋은 도구를 하나 찾아서 소개해볼까 합니다.
분명 국내에는 저보다 더 능력이 되시는 많은 보안 테스터분들께서 더 좋은 도구를 가지고 테스트를 하시리라 믿습니다만.. 구글에서는 어찌 된 것이 아무리 검색해도 한글로 된 자료를 찾기가 참 어렵습니다.
아마 오늘 제가 소개해 드리는 이 프로그램도 제가 최초가 아닐까? 조심스럽게 생각해 봅니다.
그리고 저도 아직까지 이 프로그램의 모든 기능을 전문적으로 사용하고 있지 못하기 때문에 관련된 자료나 방법을 아시는 분은 같이 공유해주시면 고맙겠습니다.
오늘 소개해드리는 프로그램은 제가 OWASP 홈페이지를 검색하면서 찾아낸 도구입니다.
이 프로그램은 Paros에서 갈라져 나온 프로그램으로 기본적인 사용방법은 Paros와 거의 똑같습니다.
다만 Paros에는 없는 여러가지 기능들이 포함된 정말 종합선물세트와 같은 프로그램입니다.
이 프로그램이 무엇이냐?
바로 OWASP Zed Attack Proxy 라는 프로그램입니다.
이 프로그램에 대한 자세한 내용은 https://www.owasp.org/index.php/ZAP 에서 보실 수 있습니다.
프로그램 소개에는 한국어도 지원한다고 하지만 제 경우에는 아무리 해도 한국어로 나오지는 않네요.
프로그램을 다운로드 하셔서 설치하시고 Weekly Release도 같이 설치하시기 바랍니다. Weekly Release는 zip 파일의 압축을 해제하셔서 설치 디렉토리업 덮어쓰기 하시면 됩니다.
설치를 다 하셨으면 이제 이걸 쓰는 법을 알아보겠습니다.
우선은 브라우저에서 프록시 설정을 해주셔야 합니다.
프록시를 설정하시는 방법은 프로그램에서 F1을 누르셔서 도움말을 실행하신 후에 Getting Started - Configuring proxies 를 보시면 자세히 나와 있습니다. 절대로 제가 설명하기 귀찮아서 그럽니다. ㅠㅠ
브라우저에서 프록시를 설정하시고 프로그램을 실행하신 후에 브라우저에서 테스트하고자 하는 사이트를 로딩하시면 자동으로 프로그램에서 해당 사이트의 페이지를 볼러오게 됩니다.
페이지가 로딩되면서 자동적으로 기본적인 보안 취약점을 검사하고 경고메세지가 나옵니다.
.png)
하지만 이게 전부가 아닙니다.
이 도구에는 Fuzzer라는 기능이 들어 있습니다. 이건 특정 데이터를 자동으로 입력해주는 기능이라고 생각하시면 됩니다.
그러니까 예를 들어서 로그인 입력 필드에 정해진 규칙에 따라 데이터를 자동으로 입력해서 테스트를 해줄 수 있습니다.
아래처럼 로그인 페이지에서 로그인을 시도한 후 Request 탭에서 해당 입력 필드를 찾습니다. 그리고 해당 입력 필드의 값 위에서 마우스 오른쪽 클릭을 하시면 Fuzz라는 메뉴를 보실 수 있습니다.
.png)
이 메뉴를 선택하시면 아래와 같이 여러 유형의 세트를 보실 수 있습니다.
.png)
원하시는 테스트 유형을 선택하시고 입력할 세트를 선택해서 실행해 보시면 아래와 같이 결과가 출력됩니다.
.png)
무엇을 입력했고 결과가 어떤지 한눈에 볼 수 있습니다.
.png)
이러한 테스트 결과는 기본적으로 PDF를 포함해서 XML, HTML 등 다양한 형태로 보고서로 내보내기 할 수 있습니다.
이외에도 여러 애드온이 개발중입니다.
Help-Check for Updates를 선택하시면 현재 설치된 Add-ons를 보실 수 있고 Marketplace에서 필요한 추가적인 기능을 설치하실 수도 있습니다.
예를 들면, 포트 스캔과 같은 애드온이나 추가적인 규칙들을 추가할 수 있습니다.
이래 저래 써보시면 정말 유용하실 듯 합니다.
제가 워낙 게으른 성격인지라 영양가 없는 리뷰입니다만, 사용하시다가 궁금하신 점은 댓글로 달아주시면 미력하나마 도움을 드리도록 하겠습니다.
이 도구 다 마음에 드는데 아쉬운 점은 각 입력필드마다 Fuzz를 반복적으로 사람이 실행해야하는게 되게 귀찮네용. 그냥 모든 입력필드에 일괄적으로 실행되면 좋을 것 같기는 한데..
그래도 없는것보다는 100번 나은 것 같습니다
사용해 보시고 유용한 팁이 있으시면 같이 공유해 주시면 고맙겠습니다.
분명 국내에는 저보다 더 능력이 되시는 많은 보안 테스터분들께서 더 좋은 도구를 가지고 테스트를 하시리라 믿습니다만.. 구글에서는 어찌 된 것이 아무리 검색해도 한글로 된 자료를 찾기가 참 어렵습니다.
아마 오늘 제가 소개해 드리는 이 프로그램도 제가 최초가 아닐까? 조심스럽게 생각해 봅니다.
그리고 저도 아직까지 이 프로그램의 모든 기능을 전문적으로 사용하고 있지 못하기 때문에 관련된 자료나 방법을 아시는 분은 같이 공유해주시면 고맙겠습니다.
오늘 소개해드리는 프로그램은 제가 OWASP 홈페이지를 검색하면서 찾아낸 도구입니다.
이 프로그램은 Paros에서 갈라져 나온 프로그램으로 기본적인 사용방법은 Paros와 거의 똑같습니다.
다만 Paros에는 없는 여러가지 기능들이 포함된 정말 종합선물세트와 같은 프로그램입니다.
이 프로그램이 무엇이냐?
바로 OWASP Zed Attack Proxy 라는 프로그램입니다.
이 프로그램에 대한 자세한 내용은 https://www.owasp.org/index.php/ZAP 에서 보실 수 있습니다.
프로그램 소개에는 한국어도 지원한다고 하지만 제 경우에는 아무리 해도 한국어로 나오지는 않네요.
프로그램을 다운로드 하셔서 설치하시고 Weekly Release도 같이 설치하시기 바랍니다. Weekly Release는 zip 파일의 압축을 해제하셔서 설치 디렉토리업 덮어쓰기 하시면 됩니다.
설치를 다 하셨으면 이제 이걸 쓰는 법을 알아보겠습니다.
우선은 브라우저에서 프록시 설정을 해주셔야 합니다.
프록시를 설정하시는 방법은 프로그램에서 F1을 누르셔서 도움말을 실행하신 후에 Getting Started - Configuring proxies 를 보시면 자세히 나와 있습니다. 절대로 제가 설명하기 귀찮아서 그럽니다. ㅠㅠ
브라우저에서 프록시를 설정하시고 프로그램을 실행하신 후에 브라우저에서 테스트하고자 하는 사이트를 로딩하시면 자동으로 프로그램에서 해당 사이트의 페이지를 볼러오게 됩니다.
페이지가 로딩되면서 자동적으로 기본적인 보안 취약점을 검사하고 경고메세지가 나옵니다.
.png)
하지만 이게 전부가 아닙니다.
이 도구에는 Fuzzer라는 기능이 들어 있습니다. 이건 특정 데이터를 자동으로 입력해주는 기능이라고 생각하시면 됩니다.
그러니까 예를 들어서 로그인 입력 필드에 정해진 규칙에 따라 데이터를 자동으로 입력해서 테스트를 해줄 수 있습니다.
아래처럼 로그인 페이지에서 로그인을 시도한 후 Request 탭에서 해당 입력 필드를 찾습니다. 그리고 해당 입력 필드의 값 위에서 마우스 오른쪽 클릭을 하시면 Fuzz라는 메뉴를 보실 수 있습니다.
.png)
이 메뉴를 선택하시면 아래와 같이 여러 유형의 세트를 보실 수 있습니다.
.png)
원하시는 테스트 유형을 선택하시고 입력할 세트를 선택해서 실행해 보시면 아래와 같이 결과가 출력됩니다.
.png)
무엇을 입력했고 결과가 어떤지 한눈에 볼 수 있습니다.
.png)
이러한 테스트 결과는 기본적으로 PDF를 포함해서 XML, HTML 등 다양한 형태로 보고서로 내보내기 할 수 있습니다.
이외에도 여러 애드온이 개발중입니다.
Help-Check for Updates를 선택하시면 현재 설치된 Add-ons를 보실 수 있고 Marketplace에서 필요한 추가적인 기능을 설치하실 수도 있습니다.
예를 들면, 포트 스캔과 같은 애드온이나 추가적인 규칙들을 추가할 수 있습니다.
이래 저래 써보시면 정말 유용하실 듯 합니다.
제가 워낙 게으른 성격인지라 영양가 없는 리뷰입니다만, 사용하시다가 궁금하신 점은 댓글로 달아주시면 미력하나마 도움을 드리도록 하겠습니다.
이 도구 다 마음에 드는데 아쉬운 점은 각 입력필드마다 Fuzz를 반복적으로 사람이 실행해야하는게 되게 귀찮네용. 그냥 모든 입력필드에 일괄적으로 실행되면 좋을 것 같기는 한데..
그래도 없는것보다는 100번 나은 것 같습니다
사용해 보시고 유용한 팁이 있으시면 같이 공유해 주시면 고맙겠습니다.
영양가 많았습니다..감사합니다. 말만 테스트용이지 알고보면 좀 위험한것 같네요
답글삭제