Zap
스캔 도구 | Web |
Mobile |
Local |
API |
Extension |
Serverless |
안내 |
---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
OWASP ZAP, ZAP Docker 컨테이너를 사용하여 애플리케이션에 대해 자동화된 동적 검색 (DAST)을 수행합니다. 사전 정의된 구성 파일에는 이미 필요한 모든 CWE가 포함되어 있습니다. 환경 및 Docker 실행 명령어에 추가하기만 하면 됩니다. |
각 유형의 정의를 확인하려면 여기를 클릭하세요.
다음 단계에 따라 웹, 모바일 또는 내부 애플리케이션에서 전체 검사를 실행할 수 있습니다.
-
DAST 및 API 검색은 ZAP Docker 이미지를 사용하여 실행됩니다. 웹, 모바일 또는 내부 애플리케이션의 경우 전체 ZAP 검사는 prod-1 또는 스테이징 환경에서 실행해야 합니다.
-
zap-casa-config.conf 구성 파일을 다운로드하고 해당 디렉터리로 이동합니다.
-
검사를 실행할 컨텍스트 파일을 생성합니다. 자세한 내용은 아래의 '인증' 안내를 참고하세요.
-
다음 명령어를 실행합니다.
docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py -t https://example.com -P 8080 -c zap-casa-config.conf -x results-full.xml -n example.context -U username
-
출력은 XML 파일로 저장됩니다 (예시는 zap-results-full.xml 참고).
API 스캔은 다음 단계에 따라 수행할 수 있습니다.
-
API 스캔의 경우 zap-casa-api-config.conf 구성 파일을 사용합니다.
-
해당 디렉터리로 이동하여 다음 명령어를 실행합니다.
docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-api-scan.py -t https://example.com -f openapi-P 8080 -c zap-casa-api-config.conf -x results-full.xml
-
출력은 XML 파일로 저장됩니다 (여기에 첨부된 예: zap-results-api.xml ).
인증
사용자 데이터가 저장 및 액세스되는 위치를 파악하려면 인증과 함께 ZAP 검색을 수행해야 합니다. 스캔을 실행하기 전에 이를 구성해야 합니다. ZAP Docker 이미지를 사용하면 인증과 관련된 두 가지 인수가 허용됩니다.
-n 컨텍스트 파일 |
타겟을 스캔하기 전에 로드할 컨텍스트 파일 |
-U 사용자 |
인증된 스캔에 사용할 사용자 이름입니다. 지정된 컨텍스트 파일에 사용자가 정의되어 있어야 합니다. |
이 매개변수를 설정하려면 컨텍스트 파일을 만들어야 합니다. 가장 쉬운 방법은 ZAP 데스크톱 UI를 사용하는 것입니다.
-
인증 메커니즘을 설정합니다. ZAP는 현재 5가지 인증 접근 방식을 지원합니다.
-
수동 인증
-
양식 기반 인증
-
HTTP/NTLM 인증
-
스크립트 기반 인증
-
JSON 기반 인증
-
- 인증 매개변수를 정의합니다. 여기에는 일반적으로 로그인 URL과 페이로드 형식 (사용자 이름 및 비밀번호)이 포함됩니다. 필수 매개변수는 사용 중인 인증 방법에 따라 다릅니다.
- 유효한 사용자 및 비밀번호를 추가하세요. 애플리케이션이 역할에 따라 다른 기능을 노출하는 경우 여러 사용자를 만듭니다.
이 설정을 구성한 후에는 컨텍스트를 참조로 스캔하여 참조할 수 있습니다.
참조하기 쉬운 위치에 컨텍스트를 저장해야 합니다. 파일 경로를 스캔 명령어의 인수로 포함해야 하기 때문입니다. 이제 컨텍스트 내에서 지정된 사용자 로그인을 사용하여 인증된 검사를 실행할 수 있습니다. 예:
docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py -t https://example.com -P 8080 -c zap-casa-config.conf -x results-full.xml -n /Users/DemoUser/Documents/Context.context -U test@example.com