웹취약점 점검 도구 OWASP ZAP 설치 및 실행방법
웹취약점 점검 도구 오와스프 잽 (OWASP ZAP) 은 java 8 이상의 버전을 필요로 합니다.
[ 환경 구성 ]
# yum -y install java // CentOS 에서 설치
# apt -y install default-jdk // Ubuntu 에서 설치
[ 설치 및 데몬 가동 ]
# cd /usr/local/src
(2020-03-05 기준 최신버전)
# wget https://github.com/zaproxy/zaproxy/releases/download/v2.9.0/ZAP_2.9.0_Linux.tar.gz
# tar xvzf ZAP_2.9.0_Linux.tar.gz ZAP_2.9.0/
# cd ZAP_2.9.0/
# ./zap.sh -daemon -host 0.0.0.0 -port 8080 -config proxy.behindnat=true -config api.addrs.addr.name=.*
브라우저에서 http://서버IP:8080 으로 접속하면 API 정보 페이지가 뜹니다.
해당 데몬은 API 설명을 보는 페이지 같습니다.
데몬이 실행되어 있지 않아도 아래와 같이 스캐닝이 가능합니다.
[ 스캐닝 ]
command line 에서 스캐닝 하기
# ./zap.sh -cmd -quickurl http://sysdocu.tistory.com -quickout /usr/local/src/report.xml -quickprogress
* 참고 (웹취약점 점검 도구 유/무료 성능 비교)
http://sectooladdict.blogspot.com/2017/11/wavsep-2017-evaluating-dast-against.html
[ 웹서비스 ]
웹서비스를 위해 php 파일을 만들고 shell_exec 로 실행할 경우 apache2 는 www-data 사용자의 권한을 갖게 되므로 아래와 같이 추가 작업을 해주어야 정상 동작 합니다.
로컬에서 www-data 권한으로 구동 되는지 우선 확인 합니다.
# sudo -u www-data /var/www/html/zap/zap.sh -cmd -quickurl http://sysdocu.tistory.com -quickout /var/www/html/report/sysdocu.tistory.com_20200310_144400.xml -quickprogress
Found Java version 11.0.6
Available memory: 16000 MB
Using JVM args: -Xmx4000m
Unable to create home directory: /var/www/.ZAP/
Is the path correct and there's write permission?
퍼미션 에러가 출력 되었으므로 해당 디렉토리를 만들고 권한을 부여 합니다.
# mkdir /var/www/.ZAP/
# chown www-data.www-data /var/www/.ZAP/
'리눅스 > Security' 카테고리의 다른 글
Snort - 03. Snort Rule 구조 (0) | 2020.10.06 |
---|---|
httpd (apache2) 설정을 이용한 웹취약점 보완 (0) | 2020.03.17 |
httpd 2.4.41 에 mod_security 2.9.1 + OWASP 설치 (0) | 2019.12.17 |
PAM 을 이용하여 sshd, vsftpd 계정별 IP 접근 제어 (0) | 2019.08.09 |
간단한 iptables 기본 방화벽 형식 (특정 IP, PORT 제외하고 모두 차단) (0) | 2019.02.12 |