DarkSoul.Story

SSL이 적용되어 있는 웹 사이트에 OWASP ZAP을 이용하여, 취약점 점검을 진행 할 때 아래와 같이 SSL 경고 메시지를 출력 하는 경우가 있다. OWASP ZAP은 웹을 프록시하면서 SSL 트래픽을 암호화/복호화의 번거로움을 해결하기 위한 dynamic SSL 인증서 생성 기능을 가지고 있다. dynamic SSL 인증서 생성 기능을 이용해서, SSL 경고 메시지가 출력되는 문제를 해결할 수 있으며, dynamic SSL 인증서 생성 방법은 아래와 같다. OWASP ZAP의 [Tools] - [Options] 메뉴를 클릭한다. Options 메뉴를 클릭하면, OWASP ZAP의 각종 옵션을 설정할 수 있는 팝업창이 나타난다.여기서 Dynamic SSL Certificates를 클릭한다. Dynam..

기본적으로 ZAP 세션은 항상 디스크에 기록되며, ZAP는 HSQLDB(Hyper SQL Database)를 사용한다. HSQLDB는 간단하게 사용할 수 있는 순수 JAVA로 만들어진 DBMS다. OWASP ZAP를 시작하면 아래와 같이 ZAP 세션을 유지 여부를 묻는다. 세션을 유지하는 것을 선택한 경우 나중에에 액세스 할 수 있도록 세션 정보를 로컬 데이터베이스에 저장되고, 세션을 유지하지 않으면 ZAP를 종료 할 때, 해당 파일이 삭제된다. 여기서는 세션을 유지 하지 않고 사용할 예정이므로, 3번째 항목을 선택 한 후 [시작]을 클릭한다. 세션 유지 여부를 선택 하고 시작을 클릭하면, 아래와 같이 OWASP ZAP 화면이 나타난다. ① 메뉴바(Menu Bar) - 스캔 정책, Encode/Decod..

OWASP Zed Attack Proxy(ZAP)는 Open Web Application Security Project(OWASP)에서 개발, 유지되고 있다. Zed Attack Proxy(ZAP)는 웹 어플리케이션 취약점을 찾기위한 무료 오픈 소스 통합 침투 테스트 도구로 자동화된 스캐너뿐만 아니라 수동으로 보안 취약점을 발견하기 위한 도구 세트를 제공 한다. OWASP Zed Attack Proxy(ZAP)는 웹 어플리케이션을 테스트하기 위해 설계되어 있으며, 유연성과 확장성을 모두 가지고 있다. Zed Attack Proxy(ZAP)의 핵심은 대행수신 프록시(intercepting proxy)로 웹 브라우저와 웹 어플리케이션 프로그램 사이에서 전송되는 메시지를 가로챈 후 확인할 수 있으며, 필요에 ..