ZAP
ZAP(잽)이란 "Zed Attack Proxy"의 약자로서, 오픈 소스 웹 애플리케이션 보안 스캐너 이다.[1] 간단히 요약하면 개발단계에서 손쉽게 보안 취약점을 발견하고 조치할 수 있도록 하는 오픈소스 제품이다.[2]
이 프로젝트는 OWASP(Open Web Application Security Project) 프로젝트 중 하나이고, 플래그 십 상태를 받았다.[1]
목차
개요
OWASP ZAP는 세계에서 가장 인기있는 무료 보안 도구 중 하나이며 오픈소스로 공개되어 있으며 깃허브에서 해당 파일을 받을 수 있다. 여러 국가에서 프로그래머들이 자발적으로 유지보수를 지원하고 있기 때문에 유연성과 확장성이 뛰어나다는 장점이 있다. ZAP는 브라우저와 웹 애플리케이션 사이에 전송된 메시지를 가로채고 검사할 수 있도록 테스터의 브라우저와 웹 애플리케이션 사이에 있으며 중간자 역할을 수행한다. 필요한 경우 내용을 수정한 다음 그 패킷들을 목적지에 전달할 수 있다. 2010년에 1.0.0 버전이 처음 출시됐으며 2020년 현재는 2.9.0 버전이 출시되었다. 출시된 이래로 ZAP 사용량은 꾸준하게 증가해 왔으며 2020년 3월 기준 ZAP는 85,000회 이상 다운로드 되었고 ZAP Docker 이미지는 220,000회 이상 받아졌으면 100만번 이상 실행되었다. ZAP 데스크탑의 국가별 사용량 순위는 1위가 미국, 2위가 인도, 3위가 일본이며, ZAP 데몬의 국가별 사용량 순위는 1위가 미국, 2위가 호주, 3위가 독일이다.[3]
2011년에는 올해의 툴 스미스 툴로 뽑혔다.ToolsWatch.org 독자가 2013년에는 최고의 보안도구로, 2014년 최고의 보안도구 2위로 뽑았다. 2015년 Bossie Award에서 오픈 소스 네트워킹 및 보안 소프트웨어로 언급 된 OWASP 도구 중 하나이다.[1]
기능
프록시
- 애플리케이션과 브라우저간의 HTTP 통신 내용을 저장한다.
- 보안 진단을 위해 요청을 보내면 응답 데이터를 시각화 한다.[2]
스파이더
- 전체 웹 애플리케이션에 대한 정보를 수집한다.
- 비공개 파일이나 디렉토리의 유무를 확인한다.[2]
정적/동적 검색
- 다양한 취약점을 자동으로 감지한다.[2]
Fuzzer
- 기본적인 정적/동적 스캔으로는 검출이 어려운 취약점을 수동으로 검색한다.[2]
애드온 Script
- 애플리케이션 고유의 기능에 대응하는 진단 도구를 작성한다.[2]
ZAP API
- 검색과 스파이더 등 외부에서 다양한 기능을 조작하여 진단 작업을 완벽하게 자동화 한다.[2]
특징
- 유연성 & 확장성 :
각주
- ↑ 1.0 1.1 1.2 OWASP ZAP 위키피디아 - https://en.wikipedia.org/wiki/OWASP_ZAP
- ↑ 2.0 2.1 2.2 2.3 2.4 2.5 2.6 〈OWASP ZAP - DevOps를 위한 Self웹취약점 점검 도구 소개〉, 《오픈나루》
- ↑ zaproxy, 〈zaproxy / zaproxy〉, 《깃허브》
참고자료
- OWASP ZAP 위키피디아 - https://en.wikipedia.org/wiki/OWASP_ZAP
- 〈OWASP ZAP - DevOps를 위한 Self웹취약점 점검 도구 소개〉, 《오픈나루》
- zaproxy, 〈zaproxy / zaproxy〉, 《깃허브》
같이 보기