1. OWASP ZAP 개요
- OWASP ZAP (Zed Attack Proxy): 웹 애플리케이션의 보안 취약점을 자동으로 검사해주는 오픈소스 보안 도구
- 개발 주체: OWASP (Open Web Application Security Project, 국제 웹 보안 프로젝트)
- 목적: 웹 서비스의 취약점을 신속하게 탐지하고 배포 전 보안 점검을 자동화하여 보안 품질을 일관되게 유지하는 데 도움을 줌
2. OWASP ZAP의 필요성
- 수동으로 보안 점검을 하면 누락되거나 배포 후 따로 점검해야 하는 문제가 발생함
- GitHub Actions와 연동하면 배포 시마다 자동으로 취약점 점검을 수행하고 리포트를 자동 생성할 수 있음
- 자동화로 실무 환경에서 보안 일관성과 효율성 확보 가능
3. ZAP 다운로드
4. ZAP 주요 기능 및 화면
- 인터페이스에서 다양한 도구와 탭으로 취약점 탐지 가능
- 경고(Warning) 패널을 통해 발견된 이슈 요약 확인 가능
- 인증 관련 기능: User Login, Authentication 설정 가능
- Forced User Mode를 통해 특정 사용자 세션으로 탐지 수행 가능
- POST 데이터 검사 기능으로 로그인 폼 등에서 전송되는 데이터 분석 가능
5. User Login 관련 힌트 및 해결 포인트
- 로그인 문제 해결 힌트 예시
- 힌트 1: 문자열 마스킹 표시 존재 예시 (예:
**********)
- 힌트 2: 특정 패턴으로 시작하는 값 확인 필요 예시 (예:
C***)
- 응답 헤더의
Location 값으로 로그인 성공 여부 판단 가능
- 예:
Location:\s?.*dashboard → 302 Redirect로 대시보드 이동 시 로그인 성공 의심
- 예:
Location: index.php → 302 Redirect로 인덱스 이동 확인
6. 옵션 및 추가 도구
- Option > Authentication Tester를 통해 인증 흐름 테스트 가능
- 로그인 상태에서 스캔하면 더 많은 정보 수집 가능
