OWASP ZAP이란?

OWASP ZAP(OWASP ZED ATTACK PROXY PROJECT) 이란?

개발자가 손쉽게 스스로 보안 취약점을 발견하고 조치할 수 있도록 기능을 제공해 주는 오픈소스 프로젝트입니다. OWASP ZAP이 자동으로 진단 검사 할 수 있는 취약점은 접근할 수 없는 부분을 제외한 웹 애플리케이션의 주요 취약점을 포괄적으로 확인할 수 있습니다. 상용 웹 취약점 스캐너에 비해서 정확도는 일부 떨어지지만 빠른 속도와 상당한 수준의 성능으로 상용 스캐너 대용으로 사용하기 좋은 오픈소스입니다.

OWASP ZAP의 주요 기능은 다음과 같습니다.

• 기능
  • 프록시
    • 브라우저와 애플리케이션 간의 HTTP 통신 내용을 저장
    • 보안 진단을 위한 요청을 보내면 응답 데이터를 시각화
  • 스파이더
    • 전체 웹 애플리케이션에 대한 정보를 수집
    • 공개해서는 안되는 파일이나 디렉토리 유무 확인
  • 정적/동적 검색
    • 다양한 취약점 자동 감지
  • Fuzzer
    • 기본적인 정적/동적 스캔으로 검출이 어려운 취약점을 수동으로 검색
  • 애드온 Script
    • 애플리케이션 고유의 기능에 대응할 수 있는 진단 도구 작성
  • ZAP API
    • 스파이더와 검색 등 다양한 기능을 외부에서 조작하여 진단 작업을 완벽하게 자동화

설치

OWASP ZAP는 JAVA로 개발되어 있기 때문에 크로스 플랫폼을 지원해 줍니다. OWASP ZAP 다운로드 에서 사용하는 OS에 맞게 다운로드 받은 후 설치를 진행하면 됩니다.

Reference

• OWASP 위키백과 - https://ko.wikipedia.org/wiki/OWASP