Web Scan - 04. OWASP-ZAP - Forced Browsing

Web Scan - 04. OWASP-ZAP - Forced Browsing

 

 

수업용으로 진행하기 때문에 오픈 소스를 사용합니다. 실제 환경에서는 오픈 소스도 사용하지만, 라이센스를 사용하는 고성능/고품질/멋진 GUI 기반의 분석도구를 사용하는 것을 권장합니다.

 

 

1. 사전 대입 파일 확인

 

root@kali:~# ls /root/.ZAP/fuzzers/dirbuster/
directory-list-1.0.txt         directory-list-lowercase-2.3-big.txt
directory-list-2.3-big.txt     directory-list-lowercase-2.3-medium.txt
directory-list-2.3-medium.txt  directory-list-lowercase-2.3-small.txt
directory-list-2.3-small.txt

 

 

사전 대입 파일 확인

 

 

 

 

2. Forced Browsing 스캔 실시

 

 - 사전 대입 공격을 이용하여 사이트 구조를 스캔한다. 스파이더 기능을 통해서 스캔하지 못한 디렉토리를 스캔할 수 있다.

 

 

'vulerablilities' 우클릭 -> 공격 -> '디렉토리 강제 검색' 클릭

 

 

 

'강제 검색' 확인

 

 

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

 

Web Scan - 04. OWASP-ZAP - Forced Browsing   https://youtu.be/jPRAWaC5tvw