2019. 8. 22. 13:32ㆍWindows Server 실습
Owasp zap 다운로드
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
--> ZAP 2.7.0 is now available!
--> https://github.com/zaproxy/zaproxy/wiki/Downloads
JDK, JRE 다운로드
> www.oracle.com > downloads > JAVA > JDK, JRE
:JRE 예)https://www.java.com/ko/download/win10.jsp
--> JavaSetup8u221.exe
:JDK )https://www.oracle.com/technetwork/java/javase/downloads/index.html
--> jdk-8u221-windows-x64.exe OK
이 세가지 파일들을 준비 해준 후
jdk와 jre를 먼저 설치한 후 zap을 설치해 준다.
설치가 완료되면
explorer가 아닌 다른 브라우저를 준비한다.
저는 파이어폭스로 할 것입니다.
설치 후
add on (상단메뉴-설정-확장기능과테마-검색해서 선택 설치)
FoxyProxy Basic
(:브라우즈 프록시 설정을 간편하게 바꿀 수 있게 해준다)
Firebug -> Firebug and Web Developmentby kuppalli
(:자바스크립트,쿠키편집,통신상태확인)
Web Developer
(:툴바 통해 Referer나 쿠키를 없애거나 폼 정보를 표시,CSRF취약점 진단시 유용.)
User Agent Switcher
(:User-Agent를 쉽게 바꿀 수 있게 해준다)
Wappalyzer
(:현재 보고있는 페이지에서 사용하는 Javascript 프레임워크 나 웹서버 정보표시)
ZAP 수동 proxy 설정 확인
> Tools > Options > Local Proxy > localhost, 8080 설정상태 확인
OWASP ZAP 에서 인증서 내보내기 저장
> Tools > Options > Dynamic SSL Certificate > 저장 > owasp_zap_root_ca.cer
찾기 쉬운 위치에 저장
수동프록시 설정
FireFox 경우
> 설정 > 맨밑 네트워크설정 > 설정 > 수동프록시 설정
IE 경우
> 인터넷옵션 > 연결 > LAN설정 > 프록시서버 설정
Chrome 경우
> 설정 > 고급설정 > 네트워크 > 프록시설정
브라우저에서 인증서 설정
FireFox
> 환경설정 > 고급(개인 정보 및 보안) > 인증서 > 인증서보기 > 가져오기 > 새 인증기관 신뢰 선택
> 인증기관 목록에서 OWASP Zed Attack Proxy Root CA 인증서 표시 확인
다음 설치한 zap을 열어서
automated scan을 들어간 후 취약점을 진단할 IP 또는 도메인을 입력하고
공격 버튼을 누르면 자동으로 취약점을 분석한다
이렇게 취약점이 분석되고
보고서로 파일을 저장할수 있다 ;)
'Windows Server 실습' 카테고리의 다른 글
(Windows) MRTG 설치 (0) | 2019.07.29 |
---|---|
(Windows) Webnight 설치 (0) | 2019.07.16 |