Web Scan - 06. OWASP-ZAP - Active Scan

Web Scan - 06. OWASP-ZAP - Active Scan

 

 

수업용으로 진행하기 때문에 오픈 소스를 사용합니다. 실제 환경에서는 오픈 소스도 사용하지만, 라이센스를 사용하는 고성능/고품질/멋진 GUI 기반의 분석도구를 사용하는 것을 권장합니다.

 

 

1. Active Scan Policy 요소

 

 - 점검할 사이트의 웹 취약점을 진단하는 기능이다.
 - 5가지 이상의 진단 항목이 제공되며, 등급은 Release, Beta, Alpha로 구분된다.
 - 패턴이 인젝션될 위치와 강도, 경고 레벨과 같은 세부 설정이 가능하다.

 

 

Threshold : 경고 출력 기준 설정 옵션

 

 

   Off : 경고 출력 않함
   Low : Low 수준 경고 출력함
   Medium : Medium 경고 수준 출력함(기본값)
   High : Hing 경고 수준 출력함

 

 

 

Strength : 인젝션되는 패턴의 강도 설정 옵션

 

 

   Low : Low 수준의 패턴을 인젝션함
   Medium : Medium 수준의 패턴을 인젝션함(기본값)
   High : High 수준의 패턴을 인젝션함
   Insane : High 수준보다 높은 수준의 패턴을 인젝션함

 

 

 

 

2. OWASP-ZAP 실행

 

root@kali:~# owasp-zap &
[1] 2891

 

 

메타 서버 접속

 

 

OWASP-ZAP 트리 윈도우 확인

 

 

 

메타 서버 -> DVWA 접속 실시

 

 

 

DVWA 로그인 실시(admin/password)

 

 

 

DVWA Security -> 'low' 레벨 변경

 

 

 

DVWA에 접속하여 'Vulnerability' 쪽에 있는 취약점 시나리오에 아무거나 입력 실시

(단, 패스워드 변경 설정은 하지 말기!)

 

 

 

OWASP-ZAP 트리 윈도우 -> 스캔 결과 확인

 

 

 

 

2. Active Scan 실시

 

'vulnerabilities' 우클릭 -> 공격 -> 'Active Scan' 클릭 

 

 

 

 

Active Scan -> 'show advanced options' -> Input Vectors 이동

 

 

 

Input Vectors -> 체크 항목 확인

 

 

 

Custom Vectors 확인

 

 

 

Technology 확인

 

 

 

Policy -> 세부 내용 확인 -> 'Start Scan' 버튼 클릭

 

 

 

진행 상태 확인 클릭

 

 

 

Progress -> Active Scan 진행 현황 확인

 

 

 

Response-> Active Scan 진행 현황 확인

 

 

 

Active Scan 중지 실시(이유 : 오래 걸리기 때문)

 

 

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

 

Web Scan - 06. OWASP-ZAP - Active Scan   https://youtu.be/GOVjQ1AgFBk