OWASP ZAP 을 이용하여 웹 보안 점검을 해보려고 한다.
1. OWASP 란 무엇일까?
오떠블유에이에스피라고 읽어야 하나 오와스프라고 읽어야 하나. 발음도 불편하다.
간략히 말하면 "OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트이다." 라고 한다. 상세한 내용은 아래 Wiki 를 읽어보자.
OWASP - 위키백과, 우리 모두의 백과사전 (wikipedia.org)
OWASP - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전. OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연
ko.wikipedia.org
2. OWASP ZAP 실습하기
OWASP ZAP 이라고 구글링 아니면 네이버링을 해보자.
다음 블로그를 보고 따라해본다.
[OWASP ZAP] 웹스캐너(웹취약점 확인) : 네이버 블로그 (naver.com)
[OWASP ZAP] 웹스캐너(웹취약점 확인)
0. 요약 - 매년 아니 요새는 2년에 1번씩 10대 웹취약점을 발표하는데 이것이 OWAP TOP10이다. - 그...
blog.naver.com
jre 가 없다고 중간에 막혔다.
요약하면 https://www.zaproxy.org/download/ 싸이트에서 ZAP_2_14_0_windows.exe 파일을 다운받아 설치하다가 다음 메시지를 만났다. 최소 11 이상의 JRE 가 필요하다고 한다.
없다면 깔아야지!
JRE 를 다운받아서 설치해 보자.
jre download 라고 구글링해서 클릭 클릭하다 보니 oracle.com -> java.com 거쳐서 jre-8u391-windows-x64.exe 파일을 다운받아 설치했다.
https://www.oracle.com/java/technologies/downloads/
https://www.java.com/ko/
3. JRE 설치후 ZAP 설치 시도
jre 를 설치하고 zap 설치를 다시 시도하니 희한한 경고창이 뜨면서 되지 않는다!!!
도무지 뭔 소린가.
파일에 바이러스 또는 기타 사용자 동의 없이 설치된 소프트웨어가 있기 때문에 작업이 완료되지 않았습니다.
뭔가 이상하면 컴터를 재부팅하는 것이 좋다.
그래서 재부팅하고 설치 시도하니 이번엔 또 다른 메시지가 뜬다.
인터넷 보안 설정으로 인해 하나 이상의 파일을 복사할 수 없습니다.
regedit 한 다음에 컴퓨터\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones 폴더를 삭제하자!
사랑두리 :: 인터넷 보안 설정으로 인해 하나 이상의 파일을 복사할 수 없습니다 오류 해결 (tistory.com)
인터넷 보안 설정으로 인해 하나 이상의 파일을 복사 할수 없습니다 오류 해결
인터넷 보안 설정으로 인해 하나 이상의 파일을 복사 할수 없습니다 오류 해결 프로그램을 설치하거나 실행하려는데 "인터넷 보안 설정으로 인해 하나 이상의 파일을 복사할 수 없습니다"라는
loveduris.tistory.com
4. Chrom 으로 설치 파일 다운로드 다시
어디서부터 무엇이 잘못되었는지 모르겠다.
설치 파일 삭제, 인터넷옵션 조정,regedit 등등의 갖가지 시행착오를 거쳤다. Mircrosoft Edge 브라우저의 특수성에 따른 시행착오도 있었다.
암튼 설치파일 지웠다가 다시 다운로드 받으려다 안되는 문제는 크롬에서 시도해서 잘 받았다.
그런데, Java Runtime Environment 를 찾을 수 없다고 에러가 뜬다. 분명 jre 를 설치했고 cmd 창에서 java -version 명령으로 설치됨을 확인했는데...
java version "1.8.0_391"
Java(TM) SE Runtime Environment (build 1.8.0_391-b13)
Java HotSpot(TM) 64-Bit Server VM (build 25.391-b13, mixed mode)
설치한 JRE 경로를 지정해주려고 해도 오류가 뜬다.
No JVM could be found on your system.
Please define EXE4J_JAVA_HOME
to point to an installed 64-bit JDK or JRE or download a JRE from https://adoptium.net.
5. Temurin JDK 설치
음.. 삼천포로 빠진듯하지만 경고창에 있는 싸이트에서 JRE 다운받아 설치해보자!
https://adoptium.net/download/ 싸이트에 가서 OpenJDK21U-jdk_x64_windows_hotspot_21.0.1_12.msi 파일을 다운받아 설치를 해보았다.
6. OWASP ZAP 설치 성공
누군가는 아주 아주 쉽게 설치했을지도 모르겠지만 온갖 뺑이를 치다가 어렵게 성공했다.
뺑이를 치게 했던 가장 큰 요인은, ZAP_2_14_0_windows.exe 라는 인스톨러는 설치하는 도중에 설치파일을 삭제하는 특이한 방식으로 동작했기 때문이다.
그 다음으로는 exe 라는 형태의 파일 다운로드가 브라우저에서 위험하기에 발생하는 문제가 있었다.
또한 JDK가 초창기에는 단순했는데 JDK 1.4 이후 변화를 거듭하다가 오라클이 인수를 하는 둥 하더니 이제는 쫒아가기 버겁게 많이 부분이 바뀌었다. 지금은 버전업이 너무 되서 파일명과 버전을 매치도 못하겠다.
애니웨이, ZAP 실행 성공~
7. 실습
첫 실습을 소감은, 마치 LoadRunner 같은 툴을 이용하여 Stress Test 하는 것과 비슷한 느낌이었다.
localhost 환경의 개발결과물에 대한 security 점검을 해보는 것이 목표인데 이것은 또 천천히 살펴볼 예정이다.
