[Tool] OWASP Zap

OWASP ZAP(Zed Attack Proxy)은 웹 애플리케이션 보안 테스트용 프록시 기반 툴.
기능: 요청/응답 가로채기(프록시), 크롤링(Spider/AJAX Spider), 자동 스캔(Active/Passive), 세션·컨텍스트 관리, 스크립팅/애드온 확장, REST API(자동화/CI 통합), OAST(Out-of-band) 연동 등.
용도: 개발자·테스터·보안팀이 허가된 범위 내에서 웹 취약점 후보를 자동으로 찾아내고 수동 분석을 보조.

기본 개념(핵심 용어)

설치: Java 17 이상 필요 그 후 OWASP Zap(https://www.zaproxy.org)

The ZAP Homepage

Welcome to ZAP!

www.zaproxy.org

Yes, I want to persist this session with name based on the current timestamp
→ 자동으로 타임스탬프 이름을 만들어서 기본 위치에 저장합니다. 빠르게 저장하려면 편함.
Yes, I want to persist this session but I want to specify the name and location
→ 이름과 폴더를 직접 지정해서 저장합니다. 나중에 구분하기 쉽도록 권장(특히 여러 프로젝트 할 때).
No, I do not want to persist this session at this moment in time
→ 저장하지 않음(메모리상으로만 유지). ZAP 종료하면 작업 내역이 사라집니다.
Remember my choice and do not ask me again (체크박스)
→ 앞으로 같은 동작 시 이 대화는 표시하지 않고 선택한 동작을 자동으로 수행합니다. (나중에 옵션에서 변경 가능)

Automated Scan 선택 후

URL to attack: 스캔할 대상의 시작 URL을 입력. (http://...)

Use traditional spider (체크박스)

전통적 스파이더(링크 파싱 기반)를 사용합니다. HTML 링크·form·a 태그를 따라 크롤링함. (JS로 동적으로 생성되는 링크는 못 잡는 경우가 많음.)

Use ajax spider 옵션

AJAX 스파이더는 헤드리스 브라우저(또는 선택한 브라우저)를 띄워서 JS를 실행한 뒤 DOM에서 링크를 발견해 크롤링함. SPA·JS가 많은 사이트에 유리.
브라우저 선택(Chrome/Firefox 등) 항목이 보인다. AJAX 크롤러가 어떤 브라우저 엔진으로 렌더링할지 정한다.

진행 버튼: 공격(Attack) / 중지(Stop)