본문 바로가기
프로그래머/소프트웨어공

OWASP ZAP 사용법

by plog 2017. 3. 22.

OWASP ZAP

웹 솔루션 취약점 점검 툴 OWASP ZAP

다운로드 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

다운로드 받은 파일은 "ZAP_2.5.0_Windows.exe " 이다. (2017.02 기준)

 

2.11.X 버전 다운로드 (2011.12 기준)

 

 

OWASP ZAP – Download

As with all software we strongly recommend that ZAP is only installed and used on operating systems and JREs that are fully patched and actively maintained.

www.zaproxy.org

ZAP 2.11.X 버전 사용법

 

점검결과

- Cross Site Scripting (위험도 상)

이 취약점은 웹 페이지 내에 XSS 공격용 스크립트가 저장되어 있는 것을 말한다. 게시판 글쓰기나 댓글 기능 등을 통하여 해커가 악성 스크립트를 공겨한 흔적일 가능성이 높다

글쓰기를 통해서 스크립트 삽입이 가능한 경우를 저장형 XSS, URL 인자 값을 변조하는 방식을 반사형 XSS.

저장형 XSS 공격은 홈페이지 위변조, 악성코드 배포를 위한 경유지로 악용, 반사형 XSS 공격은 관리자나 사용자 세션 탈취, 피싱 등에 사용 된다.

- External redirect (위험도 상)

External redirect 취약점은 주어진 URL을 클릭했을 때 제시된 URL과는 다른 사이트로 브라우저를 자동으로 이동 시키는 공격

사용자가 의도 하지 않은 사이트로 이동되는 것 뿐만 아니라 악성코드 다운로드 피싱 사이트 이동 등 피해를 볼 수 있다.

- X-Frame-Options (위험도 중)

iFrame 옵션 설정. 해당 옵션 설정에 따라 iFrame 허용하므로써 디도스 공격, 클릭재킹공격(clickjacking attack)에 노출 될 수 있다. 해당 설정을 deny, sameorigin 설정 한다.

deny: 해당 페이지는 frame내에서 표시할 수 없다.

sameorigin: 해당 페이지와 동일한 origin에 해당하는 frame내에서 표시를 허용한다. 

allow-from: 해당 페이지는 지정된 origin에 해당하는 frame내에서 표시할 수 있다.  

ex) asp.net (web.confing)

<system.webServer>
  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>
</system.webServer>

- X-Content-Type-Option Header Missing (위험도 하)

jpg 확장자로 js파일을 올려 우회를 한 후에 script 태그에 src로 넣는 수법을 방지하는 헤더다. 이 헤더를 넣으면 MIMETYPE과 다르게 사용하지 못하게 할 수 있다. nosniff만 설정할 수 있으며 잘못된 MIME 형식은 거부한다. 

<system.webServer>
    <httpProtocol>
      <customHeaders>
        <add name="X-Content-Type-Options" value="nosniff"/>
      </customHeaders>
    </httpProtocol>
</system.webServer>

- Web Browser XSS Protection Not Enabled

사용자 브라우저의 XSS 보호 옵션을 설정할 수 있는 방법. 일부 브라우저만 지원 하지만 크롬, IE 지원하므로 거의 지원한다고 볼 수 있음.

<system.webServer>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Content-Type-Options"/>
        <add name="X-XSS-Protection" value="1; mode=block"/>
      </customHeaders>
    </httpProtocol>
</system.webServer>

1: XSS 필터 활성, mode=block XSS 공격 감지시 렌더링 방지

참고: OWASP-ZAP 매뉴얼

 

ZAP 2.11.X (최신 버전 )

 

 

OWASP ZAP 사용법 (무료 보안 점검툴)

OWASP ZAP (2.11.0) 오픈 웹 애플리케이션 보안 프로젝트(OWASP)는 개방 커뮤니티로서, 기관이 신뢰할 수 있는 애플리케이션을 개발, 구입, 유지관리하는 데에 기여하고 있습니다. OWASP는 모든 기능을

plogds.tistory.com

 

저작자표시 비영리

'프로그래머 > 소프트웨어공' 카테고리의 다른 글

TotoiseGit 설치 (Github SVN과 동일한 PC 환경 구축)  (0) 2020.04.02
CISSP 자격관리 CPE 관리  (0) 2017.11.15
게시판 유투브 삽입법  (0) 2015.10.15
갤3 USB 장치 인식 실패 뜰때  (0) 2015.02.05
IP 추적 사이트  (0) 2014.07.30

관련글

댓글

티스토리툴바