기본 콘텐츠로 건너뛰기

웹 애플리케이션의 보안 취약점을 찾기 위한 통합 침투 테스트 도구 - OWASP Zed Attack Proxy

웹 애플리케이션의 보안 취약점을 테스트하기 위해 그동안 Paros 란 프로그램을 사용해 왔었는데, 안타깝게도 이 프로그램이 업데이트가 되지 않은지 너무 오래돼서 최신의 보안 취약점 검사에는 한계가 있어 이번에 다시 한번 열심히 검색해서 제 나름 기준으로 꽤 좋은 도구를 하나 찾아서 소개해볼까 합니다.

분명 국내에는 저보다 더 능력이 되시는 많은 보안 테스터분들께서 더 좋은 도구를 가지고 테스트를 하시리라 믿습니다만.. 구글에서는 어찌 된 것이 아무리 검색해도 한글로 된 자료를 찾기가 참 어렵습니다.

아마 오늘 제가 소개해 드리는 이 프로그램도 제가 최초가 아닐까? 조심스럽게 생각해 봅니다.

그리고 저도 아직까지 이 프로그램의 모든 기능을 전문적으로 사용하고 있지 못하기 때문에 관련된 자료나 방법을 아시는 분은 같이 공유해주시면 고맙겠습니다.

오늘 소개해드리는 프로그램은 제가 OWASP 홈페이지를 검색하면서 찾아낸 도구입니다.

이 프로그램은 Paros에서 갈라져 나온 프로그램으로 기본적인 사용방법은 Paros와 거의 똑같습니다.

다만 Paros에는 없는 여러가지 기능들이 포함된 정말 종합선물세트와 같은 프로그램입니다.

이 프로그램이 무엇이냐?

바로 OWASP Zed Attack Proxy 라는 프로그램입니다.

이 프로그램에 대한 자세한 내용은 https://www.owasp.org/index.php/ZAP 에서 보실 수 있습니다.

프로그램 소개에는 한국어도 지원한다고 하지만 제 경우에는 아무리 해도 한국어로 나오지는 않네요.

프로그램을 다운로드 하셔서 설치하시고 Weekly Release도 같이 설치하시기 바랍니다. Weekly Release는 zip 파일의 압축을 해제하셔서 설치 디렉토리업 덮어쓰기 하시면 됩니다.

설치를 다 하셨으면 이제 이걸 쓰는 법을 알아보겠습니다.

우선은 브라우저에서 프록시 설정을 해주셔야 합니다.

프록시를 설정하시는 방법은 프로그램에서 F1을 누르셔서 도움말을 실행하신 후에 Getting Started - Configuring proxies 를 보시면 자세히 나와 있습니다. 절대로 제가 설명하기 귀찮아서 그럽니다. ㅠㅠ

브라우저에서 프록시를 설정하시고 프로그램을 실행하신 후에 브라우저에서 테스트하고자 하는 사이트를 로딩하시면 자동으로 프로그램에서 해당 사이트의 페이지를 볼러오게 됩니다.

페이지가 로딩되면서 자동적으로 기본적인 보안 취약점을 검사하고 경고메세지가 나옵니다.


하지만 이게 전부가 아닙니다.

이 도구에는 Fuzzer라는 기능이 들어 있습니다. 이건 특정 데이터를 자동으로 입력해주는 기능이라고 생각하시면 됩니다.

그러니까 예를 들어서 로그인 입력 필드에 정해진 규칙에 따라 데이터를 자동으로 입력해서 테스트를 해줄 수 있습니다.

아래처럼 로그인 페이지에서 로그인을 시도한 후 Request 탭에서 해당 입력 필드를 찾습니다. 그리고 해당 입력 필드의 값 위에서 마우스 오른쪽 클릭을 하시면 Fuzz라는 메뉴를 보실 수 있습니다.


이 메뉴를 선택하시면 아래와 같이 여러 유형의 세트를 보실 수 있습니다.


원하시는 테스트 유형을 선택하시고 입력할 세트를 선택해서 실행해 보시면 아래와 같이 결과가 출력됩니다.


무엇을 입력했고 결과가 어떤지 한눈에 볼 수 있습니다.



이러한 테스트 결과는 기본적으로 PDF를 포함해서 XML, HTML 등 다양한 형태로 보고서로 내보내기 할 수 있습니다.

이외에도 여러 애드온이 개발중입니다.

Help-Check for Updates를 선택하시면 현재 설치된 Add-ons를 보실 수 있고 Marketplace에서 필요한 추가적인 기능을 설치하실 수도 있습니다.

예를 들면, 포트 스캔과 같은 애드온이나 추가적인 규칙들을 추가할 수 있습니다.

이래 저래 써보시면 정말 유용하실 듯 합니다.

제가 워낙 게으른 성격인지라 영양가 없는 리뷰입니다만, 사용하시다가 궁금하신 점은 댓글로 달아주시면 미력하나마 도움을 드리도록 하겠습니다.

이 도구 다 마음에 드는데 아쉬운 점은 각 입력필드마다 Fuzz를 반복적으로 사람이 실행해야하는게 되게 귀찮네용. 그냥 모든 입력필드에 일괄적으로 실행되면 좋을 것 같기는 한데..

그래도 없는것보다는 100번 나은 것 같습니다

사용해 보시고 유용한 팁이 있으시면 같이 공유해 주시면 고맙겠습니다.

댓글

  1. 영양가 많았습니다..감사합니다. 말만 테스트용이지 알고보면 좀 위험한것 같네요

    답글삭제

댓글 쓰기

이 블로그의 인기 게시물

프로젝트의 3요소 - Project Management

프로젝트는 예산, 일정, 품질 3가지 요소로 이루어진다고 볼 수 있다. 물론 위 3가지 요소 외에도 개발 범위, 팀워크, 자원 조달 등 여러가지 요소들도 고려해 볼 수 있지만, 가장 중요한 요소를 꼽는다면 예산, 일정, 품질일 것이다. 위에서 말한 여러가지 요소들은 프로젝트를 계획하여 완료하는 순간까지 복합적으로 작용해서 프로젝트의 성과를 제한하게 된다. 위의 요소들을 잘 통제한다면 성공적인 프로젝트가 되는 것이고 그렇지 못한다면 실패하거나 사라지게 될 것이다. 프로젝트 관리란 그런 면에서 제한된 자원을 가지고 목적한 바를 제한된 기간내에 최소의 비용으로 완수할 수 있도록 하는 것으로 정의할 수 있을 것이다. 이것을 도식화 한다면 아래와 같은 그림으로 표현할 수 있을 것이다. 위의 그림에 보는 것처럼 일정과 품질, 예산은 우리의 프로젝트가 목적하는 바를 달성하도록 하기 위해 상호 연관되어 작용하게 된다. 우리가 접하게 되는 많은 방법론들의 가정에는 위의 요소들을 어떻게 관리할 것인가에 대한 기본적인 가정들이 설정되어 있다. 조직에서 어떤 특정한 방법론을 도입한다는 것은 그런 가정에 동의하는 것이고 그러한 철학을 받아들인다는 것이기 때문에, 방법론을 채택하기 전에 조직의 근본 문제와 문화에 대해 점검해 볼 필요가 있다. 그리고 위의 요소들 외에 고려해 볼 사항은 위의 요소들은 변동성과 불확실성을 내포하고 있다는 것이다. 특히 비용과 예산, 목적은 프로젝트를 진행하면서 가변할 가능성이 매우 큰 요소들이다. 대부분의 방법론은 이러한 변동성에 대한 안전장치들을 가정해서 세워져 있다. 변동성의 측면에서 위의 요소들을 다시 살펴본다면 아래와 같이 가정할 수 있다. 위의 그림을 일부 해석해 본다면 일정이 늘어난다면 비용은 늘어나게 된다. 범위가 변경되어도 비용은 늘어나게 된다. 범위와 일정은 상호 의존적이 된다. 만약 위 3가지 요소의 변동성을 통제하지 못하게 된다면 프로젝트는

스위치봇 & 스위치봇 허브 미니 간단 사용기

제 블로그에 예전부터 오셨던 분들은 제가 사브작 사브작 홈 오토메이션을 어설프게 해온 것을 아실겁니다. 작년부터 너무 하고 싶었던 도어락 자동화에 도전해봤습니다. 우리 나라에 자체 서비스로 앱을 통해 도어락을 제어하는 제품은 꽤 있습니다. 게이트맨도 있고, 키위도 있고, 삼성도 있죠.. 그런데.. 전 그것보다 구글 어시스턴트를 지원하는 도어락이 필요했는데... 그런건 안만들더라구요.. 꼭 필요한건 아니지만 웬지 해보고 싶은데... 언제 제품이 출시될지도 몰라서.. 가능한 방법을 찾아보다가.. 스위치봇이라는 제품으로 도어락을 버튼을 꾹 누르는 방법을 찾아서 스위치봇이 직구가 아닌 국내에 출시되었길래 낼름 구매해서 도전해봤습니다. 스위치봇 제품에 대한 내용이나 구매는  https://www.wakers.shop/  에서 하시면 됩니다. 저는 스위치봇에 스위치봇을 구글 홈에 연결시키기 위해 스위치봇 허브 미니까지 구매했습니다. 스위치봇 허브 미니가 없으면 스위치봇을 외부에서 제어하거나 구글 홈에 연결할 수 없습니다. 그리고 제가 스위치봇 허브 미니를 구매한 이유 중 다른 하나는 이 제품이 RF 리모컨 기능이 지원됩니다. 집에 있는 모니터를 제어할 필요가 있어서 이참 저참으로 같이 구매했습니다. 제품 등록은 어렵지 않습니다. 여기서는 스위치봇 허브 미니에 RF 리모컨을 등록해서 구글 어시스턴트로 제어하는 방법을 소개해드릴까 합니다. 제가 스위치봇 허브 미니로 모니터를 제어하고 싶었던 부분은 컴퓨터에서 크롬캐스트로 외부 입력을 때에 따라 바꿔야 하는데.. 그때마다 리모컨을 찾는게 너무 불편해서였습니다.  어차피 리모컨은 외부 입력 바꿀 때 빼고는 쓸 일도 없는지라.. 매번 어디로 사라지면 정말 불편해서 이걸 자동화 하고 싶었습니다. 그런데, 처음에 스위치봇 허브 미니를 등록하고 여기에 리모컨을 등록하니.. 구글 홈에 등록된 리모컨이 자동으로 등록이 됩니다. 그런데, 등록된걸 확인해보니 전원 On/Off만 제어되는 것이고, 나머지 버튼은 구글 홈으로 제어가 안되어서..

테슬라 악세사리 구매 후기

테슬라를 구매하면서 알리와 네이버 페이에서 이런 저런 악세사리를 정말 엄청나게 구매했습니다. 스파크 13년의 경험을 총동원해서 어머 이건 꼭 사야지~~ 라고 생각되는건 모두 구매해봤습니다. 실제 비용은 쿠폰과 포인트로 조금씩 달라질 수 있기 때문에 구매한 제품과 구매 링크 그리고 간단한 후기만 남겨보도록 하겠습니다. 1. 하이패스(AP500S) 뭐.. 얼마 안 있으면 하이패스가 필요없어진다는 얘기도 있지만.. 시범 사업 이후에 전국 고속도로에 설치되려면 아직 멀었고 뭐.. 말이 필요없는 필수품이죠.. 테슬라 카페이서 추천하는거 구매해봤습니다. TKC에서 공구하는건 이걸 구매하고 나서 알게 되었네요.. 네이버 공식샵에서 구매했습니다.  설치 후 동작은 잘 되는데.. 센터 콘솔 안에 위치한 시거잭에 설치하고 뚜껑을 닫았더니.. 음량을 최대 5로 설정해도 동작음이 잘 들리지를 않습니다. 그래서 이게 제대로 결제가 된건지 안된건지 알 수 없는게 유일한 불만이고.. 작고 잘 동작하고 좋습니다. https://smartstore.naver.com/gair/products/4776415369 2. 액정 보호 필름(스코코) https://brand.naver.com/skoko/products/9882239107 좋다고 해서 구매해봤는데.. 솔직히 모르겠습니다. 그리고 미묘하게 크기가 안맞습니다. 테슬라 모니터 테두리가 곡면이라서 그런것 같습니다. 샵에서 붙여 달라고 했는데.. 제래도 붙지 않고 계속 기포가 생깁니다. 점착력이 떨어지는건지.. 혹시 몰라서 한번 더 구매해서 다시 붙여보려고 합니다. 무엇보다 비싸기 때문에.. 무반사 이런거에 큰 관심 없으시면 다른 적당히 저렴한거 구매하시는게 나을 것 같기도 합니다. 3. 도어 커버(카마루) https://blessauto.kr/products/37263 생각보다 얇고 얘도 생각보다 잘 안맞습니다. 미묘하게 좀 큽니다. 제가 똥손이라서 잘 못붙여서 그런것일 수도 있습니다. 막상 붙이고 나면 감촉도 좋고.. 관리하기 편합니다. 브