본문 바로가기
2. Information Security/4. Tools

1. OWASP ZAP (ZAP PROXY) LOGIN

by H232C 2020. 2. 14.

https://www.zaproxy.org/

 

The ZAP Homepage

Welcome to ZAP!

www.zaproxy.org

 

1. Login 설정 (Target 디렉토리에 Flag as Context 설정)

 

2. Target 디렉토리에 Flag as Context 적용되면 빨간색 표기를 볼 수 있음

 

3. 로그인 페이지에서 우클릭 후 From-based Auth Login Request 선택

 

4. Prameter 지정 (Username, Password) + CSRF 설정 토큰 존재시(User_token) Anti CSRF 설정 후 Parameter 정의

5. Context -> Users -> Add -> Login 계정 설정 -> Modify -> Enable

 

6. 자물쇠 아이콘 선택 (Login 계정을 강제로 적용함)

 

7. Login Request 확인 값 지정 (Login Response 페이지를 찾아서 본문 내용일부에 드레그 -> Flag as Context -> Authentication Logged In Indicator 선택 -> 확인

 

8. Taget 디렉토리 우클릭 후 Spider 선택 (Context, User를 기존에 선택한 내용으로 설정 -> Start Scan)

 

9. 로그인 전 스캔되지 않던 Logout.php가 보이는 것을 확인할 수 있다.

 

10. Spider or Active Scan시 설정된 Login을 수행하는 것을 History에서 확인 가능하다.

 

* Active Scan 전 Login된 Spider를 꼭 해줘야 함

저작자표시

'2. Information Security > 4. Tools' 카테고리의 다른 글

3. DevSecOps 툴 (업데이트 예정)  (0) 2020.08.12
2. Vuls (CVE 취약점 관리 오픈소스)  (0) 2020.06.16

관련글

댓글

티스토리툴바