2016년 9월 8일 목요일

[Web] OWASP ZAP(Zed Attack Proxy) 구성


[주메뉴(Top level Menu)]

주메뉴의 각 기능

  • File : OWASP-ZAP의 세션 열기, 저장 등의 조정 및 세션값 설정
  • Edit : 검색 기능 제공과 관리하고 있는 세션 추적
  • View : OWASP-ZAP을 구성하고 있는 tab의 보여주기 조정
  • Analysis menu : 스캔 정책을 조정
  • Report : 파일 형태별 결과보고서 출력 관련 조정
  • Tools menu : OWASP-ZAP 도구와 일반적인 옵션 조절
  • Online menu : 인터넷에 있는 관련자료 링크
  • Help menu : 도움말  


[툴바(Top level Toolbar)]

툴바의 각 기능

  • mode : 스캔 모드 설정
  • New Session : 신규 세션 설정
  • Open Session : 저장되어 있는 세션 읽기
  • Persist Session : 점검 중인 세션 저장
  • Snapshot Session : 현재 진행되고 있는 세션 저장
  • Session Properties : 세션 환경 값 설정
  • Options : OWASP-ZAP의 환경 값 설정
  • Show tab names and icons : 각 창에 있는 tab의 이름 및 아이콘 보이기/숨기기
  • Expand Sites Tab : 트리창(Tree Window)의 크기 확대
  • Expand Information Tabs : 정보창 (Information Window)의 크기 확대
  • Expand Full : 정보창에서 선택된 tab 크기 확장
  • Request and Response tabs side by side : 작업창(Workspace Window)에 있는 Request tab과 Response tab을 나란히 배치
  • Request show above Response : 작업창(Workspace Window)에 있는 Request panel을 Response panel 상하로 배치
  • Request and Response panels side by side : 작업창(Workspace Window)에 있는 Request panel을 Response panel 좌우로 배치
  • Set/Unset break an all requests : proxy 기능 활용 시 요청값(request)에 대한 trap 설정 및 해제
  • Set /Unset break on all responses : proxy 기능 활용 시 반환값(response)에 대한 trap 설정 및 해제
  • Step : proxy 기능 활용 시 trap이 설정된 request나 response에 대하여 순차적으로 실행
  • Continue : proxy 기능 활용 시 trap이 설정된 request나 response에 대하여 끝까지 모두 실행
  • Drop : proxy 기능 활용 시 trap이 설정된 request나 response에 대하여 실행시키지 않고 종료
  • Add a custom HTTP break point : 특정 URL에 대한 break point 설정하는 대화창 활성화
  • Force User Mode On / Off : 사용자 모드 켜기 / 끄기 

[바닥글(Footer)]

발견된 취약점 개수 및 현재 수행하고 있는 점검 개수에 대한 정보 출력


취약점 점검결과 (위험도 상, 중, 하 및 단순정보)에 대한 개수

[트리창(Tree Window)]

URL에 대한 정보를 트리형태로 출력하는 Sites tab

Site tab에서 방문했던 특정 URL을 선택한 후 마우스 오른쪽 버튼을 클릭하면 URL을 대상으로 취약점 점검 URL을 대상으로 취약점 관리 등을 수행할 수 있는 창이 열린다.


[작업창(Workspace Window)]


작업창의 각 기능
  • 빠른시작 : 취약점 점검을 쉽게 수행할 수 있도록 공격대상 URL을 입력하여 점검 시작 및 중지를  할 수 있음
  • Request Tab : 취약점 점검 또는 Proxy 기능에서 사용자 브라우저에서 점검 대상 홈페이지로 송신하는 요청값(Request)를 보임
  • Response Tab : 취약점 점검 또는 Proxy 기능에서 점검 대상 홈페이지로부터 수신되는 반환값(Responses)를 보임
  • Break Tab : 지정된 break point에 대한 request와 response 변경

[정보창(Information Window)]


정보창의 각 기능

  • Spider Tab : 홈페이지 취약점 점검 시 취약점 점검을 수행할 대상 URL에 대한 스캐닝 화면 출력 및 조정
  • Active Scan Tab : 홈페이지 취약점 점검을 수행하는 화면 출력 및 조정
  • Alerts Tab : 홈페이지 취약점 점검결과 발견된 취약점을 위험도 순으로 트리형태로 출력하며, 각 취약점에 대한 상세한 정보 제공
  • History Tab : 취약점 점검 및 Proxy 기능 활용 시 홈페이지에 송신한 요청값(Request)를 순차적으로 출력하고 필터링 기능 제공
  • Search Tab : OWASP-ZAP에서 수행된 URL, Request, Response 등 모든 결과에 대한 검색 기능
  • Break points Tab : 사용자가 설정한 중단점(Break point) 출력
  • Fuzzer Tab : Fuzzing 실행 시 결과값 출력
  • Params Tab : 홈페이지 점검 시 사용된 매개변수값 출력
  • Output Tab : 다양한 정보 메시지 출력

[출처]

http://www.memozee.com/download.file.php?t=2&d=3447&o=2

by 시간:
Tags

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)