OWASP ZAP User Interface

기본적으로 ZAP 세션은 항상 디스크에 기록되며, ZAP는 HSQLDB(Hyper SQL Database)를 사용한다.  HSQLDB는 간단하게 사용할 수 있는 순수 JAVA로 만들어진 DBMS다. OWASP ZAP를 시작하면 아래와 같이 ZAP 세션을 유지 여부를 묻는다. 

세션을 유지하는 것을 선택한 경우 나중에에 액세스 할 수 있도록 세션 정보를 로컬 데이터베이스에 저장되고, 세션을 유지하지 않으면 ZAP를 종료 할 때, 해당 파일이 삭제된다. 여기서는 세션을 유지 하지 않고 사용할 예정이므로, 3번째 항목을 선택 한 후 [시작]을 클릭한다. 

세션 유지 여부를 선택 하고 시작을 클릭하면, 아래와 같이 OWASP ZAP 화면이 나타난다. 

① 메뉴바(Menu Bar) - 스캔 정책, Encode/Decode, Browser API등 취약점 점검을 위한 자동/수동 도구에 대한 액세스를 제공한다. 

② 툴바(Toolbar) - 가장 일반적으로 사용되는 기능을 쉽게 사용할 수 있도록 아이콘으로 제공한다.

③ 트리 윈도우(Tree Window) - 사이트 트리(Sites tree)와 스크립트 트리(Scripts tree)를 표시한다.

④ 작업 창(Workspace Window) - 요청, 응답 및 스크립트를 표시하고 이를 편집 할 수 있다.

⑤ 정보 창(Information Window) - 자동/수동 도구의 세부 정보를 표시 한다.

⑥ 바닥 글(Footer) - 발견된 경고의 요약 및 주요 자동화 도구의 상태를 표시한다.

브라우저 프록시 설정

ZAP에서 pentest를 실행하려면, ZAP에서 로컬 프록시 설정과 브라우저에서 프록시 설정을 해야한다. ZAP에서 Pentest로 실행하기 위해서는 프록시로 ZAP를 사용하려면 브라우저를 설정해야합니다.

ZAP에서 프록시 설정은 [Tools] - [Options]에서 [Local Proxy]에서 설정한다.

브라우저에서 프록시 설정은 사용하는 브라우저 마다 프록시 설정하는 방법이 약간 차이가 있다. 여기서는 크롬 브라우저(OS: Windows)의 프록시 설정에 대해 이야기한다. 가장 먼저 크롬 브라우저 오른쪽 상단에 있는 설정 및 제어 버튼을 클릭한다. 설정 및 제어 버튼을 클릭하면 메뉴바가 나타나는데 여기서 설정메뉴를 클릭한다.

설정 메뉴를 클릭하면 설정 화면이 나타나는데 여기서 가장 하단에 있는 [고급 설정 표시]를 클릭한다. [고급 설정 표시]를 클릭하면 중간쯤에 Chrome에서 컴퓨터의 시스템 프록시 설정을 할 수 있는 [프록시 설정 변경] 메뉴를 클릭한다.

[프록시 설정 변경] 메뉴를 클릭하면, 프록시 설정을 할 수 있는 Windows 인터넷 속성이 나타난다. 여기서 [LAN 설정]을 클릭한다. [LAN 설정]을 클릭 후 나타나는 [LAN 설정] 창에서 하단에 있는 프록시 서버에서 그림과 같이 프록시 서버 사용을 체크한다.

프록시 주소와 포트는 ZAP에서 프록시 설정한 IP주소와 포트가 동일해야한다.