OWASP ZAP의 설치 방법과 Acrive Scan을 사용법을 알아보겠습니다.
OWASP ZAP(Zed Attack Proxy)은 웹 애플리케이션의 보안 취약점을 찾는 데 사용되는 무료 오픈 소스 웹 애플리케이션 보안 스캐너입니다.
1. OWASP ZAP 설치
OWASP ZAP 공식 홈페이지에서 자신의 운영체제에 맞는 설치 파일을 다운로드 합니다.
ZAP – Download
⚠️ Warning - Browsers may flag the ZAP releases as potentially dangerous. There does not appear to be much we can do about this. For more details see Why does my Antivirus Tool Flag ZAP? ⚠️ Warning - ZAP releases are currently unsigned. On Windows,
www.zaproxy.org
만일 아래와 같은 오류 팝업이 뜬다면 JDK 또는 Open JDK와 같은 자바 배포판을 다운로드 해야 합니다.
아래 글을 참고해 JDK을 설치한 후 설치를 진행합니다.
2025.10.23 - [Web/기초] - JDK21 설치와 환경 변수 설정
JDK21 설치와 환경 변수 설정
JDK21을 설치하는 방법을 알아보겠습니다.JDK(Java Development Kit)는 java 환경에서 돌아가는 프로그램을 개발하는 데 필요한 툴을 모아놓은 소프트웨어 패키지입니다. 1. JDK21 설치오라클 공식 홈페이
luckyd8.tistory.com
OWASP ZAP 설치 파일 실행 > Next > I agree 체크박스 선택 > Standard installation > Install
2. Firefox 설치
OWASP ZAP은 웹 브라우저와 웹 서버 사이의 프록시 역항르 하며, 사용자가 브라우저에서 요청하는 모든 트래픽을 가로채서 분석합니다. 이때, 내장 브라우저라는 ZAP 기능을 사용하게됩니다. 이 기능이 Firefox를 기반으로 하기 때문에, Firefox를 먼저 설치해 두면, ZAP 실행 후 복잡한 프록시 설정 없이 바로 테스트 실행이 가능해 편리합니다.
Firefox 공식 다운로드 페이지에 접속해 설치 파일을 다운로드 합니다.
https://www.mozilla.org/ko/firefox/new/
Firefox 최신 버전 다운로드
빠른 페이지 로딩, 작은 메모리 사용 및 다양한 기능을 갖춘 새로운 Firefox가 여기 있습니다.
www.firefox.com
다운로드가 완료되면 설치 파일을 실행하여, 별다른 변경 없이 기본값으로 진행합니다.
3. 초기 설정 및 ZAP 연동
2.1 ZAP과 브라우저 연결 (프록시 설정)
friefox > 메뉴버튼(☰) > 설정 > 검색바에 프록시 검색 > 프록시 설정 > 수동 프록시 설정
HTTP 프록시: 127.0.0.1, 포트: 80810, HTTPS에도 이 프록시를 사용 체크
포트 번호는 8080을 기본으로 사용하지만, 다른 프로그램이 이 포트를 사용 중이라면 원하는 번호로 변경 가능합니다.
2.2 ZAP 인증서 내보내기
zap에서 인증서를 내보낸 후, Firefox에서 설정해야 합니다.
ZAP 접속 > Tools > Options > Network(Server Cerficitaes) > Generate
만약 이미 Root CA Certificate가 존재한다는 팝업이 뜬다면 Generate는 생략하고 바로 저장해도 됩니다.
(저장 경로는 찾기 쉬운 곳으로 설정)
2.3 Firefox 설정에서 인증서 가져오기
Firefox > 메뉴버튼(☰) > 설정 > 개인 정보 및 보안 > (아래로 스크롤) 인증서 > 인증서 보기
인증 기관 탭 > 가져오기 > 2.2에서 저장한 인증서 파일을 선택 > 신뢰된 인증 기관 (웹 사이트, 메일) 박스 체크 > 확인
4. 취약점 점검 실시
4.1 웹 사이트 연결 및 탐색
Firefox에 취약점 점검 대상 웹 사이트를 검색합니다. (사이트가 http일 경우 반드시 http:// 를 정확히 입력)
OWASP ZAP Sites에 점검 대상 웹 사이트 주소가 제대로 보이는지 확인합니다.
4.2 취약점 자동 점검 (Acrive Scan)
점검 대상 사이트 우클릭 > 공격 > Active Scan
Input Vectors 탭 > 취약점 점검 요소 선택
Technology 탭 > 웹 사이트 구성 기술 스택 선택
Piolicy 탭 > 잠재적 취약점의신뢰도를 설정 (본인의 경우 Medium으로 설정)
- High 99% 이상 확신하는 취약점만 보고
- Medium 50% 이상 확신하는 취약점을 보고
- Low 낮은 신뢰도로 파악한 모든 잠재적 취약점
모든 설정이 완료 되었다면 Start Scan
4.3 스캔 결과 분석 및 리포트 생성
하단의 Sent Messages를 보면 Active Scan 진행률이 보입니다.
경고 탭에 접속하면 검출된 취약점과 상세 내용을 확인할 수 있습니다.
보고서 > Generate Report > 저장 경로 설정> Template 선택 (본인의 경우 Generate HTML Report 선택) > Generate Report
- Generate HTML Report는 OWASP ZAP 보고서 기능 중 가장 일반적이고 널리 사용되는 형식입니다.
'Web > 기초' 카테고리의 다른 글
| JDK21 설치와 환경 변수 설정 (0) | 2025.10.23 |
|---|---|
| BootStrap 부트스트랩 설치 및 적용 (0) | 2025.10.23 |
| [Web] Google Cloud에 Docker 이미지 배포하기 (0) | 2025.09.03 |
| [Web] 쿠키(Cookie) & 세션(Session) (0) | 2025.05.28 |
| [Web] HTTP, HTTPS (0) | 2025.04.03 |