(Windows) Owasp Zap 설치하기

Owasp zap 다운로드

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

--> ZAP 2.7.0 is now available!

--> https://github.com/zaproxy/zaproxy/wiki/Downloads

 

JDK, JRE 다운로드

> www.oracle.com > downloads > JAVA > JDK, JRE

:JRE 예)https://www.java.com/ko/download/win10.jsp

--> JavaSetup8u221.exe

:JDK )https://www.oracle.com/technetwork/java/javase/downloads/index.html

--> jdk-8u221-windows-x64.exe OK

 

이 세가지 파일들을 준비 해준 후

jdk와 jre를 먼저 설치한 후 zap을 설치해 준다.

 

설치가 완료되면

explorer가 아닌 다른 브라우저를 준비한다.

 

저는 파이어폭스로 할 것입니다.

 

설치 후

 

add on (상단메뉴-설정-확장기능과테마-검색해서 선택 설치)

FoxyProxy Basic

(:브라우즈 프록시 설정을 간편하게 바꿀 수 있게 해준다)

Firebug -> Firebug and Web Developmentby kuppalli

(:자바스크립트,쿠키편집,통신상태확인)

Web Developer

(:툴바 통해 Referer나 쿠키를 없애거나 폼 정보를 표시,CSRF취약점 진단시 유용.)

User Agent Switcher

(:User-Agent를 쉽게 바꿀 수 있게 해준다)

Wappalyzer

(:현재 보고있는 페이지에서 사용하는 Javascript 프레임워크 나 웹서버 정보표시)

ZAP 수동 proxy 설정 확인

> Tools > Options > Local Proxy > localhost, 8080 설정상태 확인

OWASP ZAP 에서 인증서 내보내기 저장

> Tools > Options > Dynamic SSL Certificate > 저장 > owasp_zap_root_ca.cer

찾기 쉬운 위치에 저장

수동프록시 설정

 

FireFox 경우

> 설정 > 맨밑 네트워크설정 > 설정 > 수동프록시 설정

IE 경우

> 인터넷옵션 > 연결 > LAN설정 > 프록시서버 설정

Chrome 경우

> 설정 > 고급설정 > 네트워크 > 프록시설정

브라우저에서 인증서 설정

FireFox

> 환경설정 > 고급(개인 정보 및 보안) > 인증서 > 인증서보기 > 가져오기 > 새 인증기관 신뢰 선택

> 인증기관 목록에서 OWASP Zed Attack Proxy Root CA 인증서 표시 확인

 

다음 설치한 zap을 열어서

automated scan을 들어간 후 취약점을 진단할 IP 또는 도메인을 입력하고

공격 버튼을 누르면 자동으로 취약점을 분석한다

이렇게 취약점이 분석되고

보고서로 파일을 저장할수 있다 ;)