OWASP-ZAP 사용 가이드 - 2. Active Scan

#1. Active Scan

1-1. Active Scan?  

원하는 사이트에 자동으로 취약점 점검을 돌릴 수 있도록 하는 기능이다. 단, 이 기능은 허가되지 않은 사이트에 시도 시 불법으로 처벌 받을 수 있으니 꼭 자신의 테스트 환경에서만 시도하길 바란다.

 

1-2. 실행방법 

간단하다. 사이트 트리에 Active Scan을 원하는 디렉토리를 우클릭 후 공격 > Active Scan을 실행하면 된다. 모드에 따라서 실행하는 Analyzer가 달라지지만 필자는 기본인 Standard Mode에서 실행했다.

그렇게 되면 아래와 같이 Active Scan이 실행되고 있는 것을 볼 수 있으며, 프로그레스바 왼쪽의 Show Scan Progress Detailed를 클릭해보면 어떤 것이 진행되고 있는지 확인할 수 있다.

1-3. 실행결과

툴 상단 메뉴바 중 보고서를 클릭하면 HTML, XML 등 다양한 형태로 결과 확인이 가능하다.

이미지 https://resources.infosecinstitute.com/topic/introduction-owasp-zap-web-application-security-assessments/ 펌