ZAP 2.10 Released ๐ Quick review
2020 ๋ง์ง๋ง์ด ์ผ๋ง ๋จ์ง ์์ ์ค๋ ๋๋์ด ZAP 2.10.0์ด ๋ฆด๋ฆฌ์ฆ ๋์์ต๋๋ค. ๊ทธ๋์ dark mode ๋ฑ์ ์ด์ ๋ก weekly ๋ฒ์ ์ ์ฌ์ฉํ์๋๋ฐ, ์ด์ ๋ ๊ณต์ ๋ฒ์ ์ผ๋ก ๋์ด๊ฐ๋ ์ข์ ๊ฒ ๊ฐ๋ค์.
์ค๋์ ๊ฐ๋ณ๊ฒ 2.10.0 ์ ๋ฆด๋ฆฌ์ฆ ๋ ธํธ๋ฅผ ์ดํด๋ณด๊ณ , ๋ช๊ฐ์ง ๊นจ์๊ฐ์ ๊ธฐ๋ฅ์ ์๊ฐํ ๊น ํฉ๋๋ค.


TL;DR
- ๊ธฐ๋ฅ์ด ๋ง์ด ์ถ๊ฐ๋ฌ์ด์. ์์ธํ๊ฑด ๋ฆด๋ฆฌ์ฆ ๋ ธํธ๋ฅผ ๋ณด์ธ์
- ๋ฆด๋ฆฌ์ฆ ๋ ธํธ์ ์๋ ๊ธฐ๋ฅ์ด ์์ด์. ์ ๊ธ์ ๋์ถฉ ์ ํ์์ผ๋ ์ฐธ๊ณ ํ์ธ์
- ์ด๋ฒ ์ ๋ฐ์ดํธ๋ ํ์์ด๋ ๋น ๋ฅด๊ฒ ์ ๋ฐ์ดํธ ๊ฐ์์ฃ .
ZAP 2.10.0 Released Note
Escape Java 8 verison, Go 11!
ZAP์ ๊ตฌํ ์๋ฐ ๋ฒ์ ์ ์ ์งํด์ผํ๋ ์ด์๊ฐ ์์์ต๋๋ค. ์ด๋ ZAP์ชฝ์์๋ ์ฝ 10๋ ๋ง์ ์์ ๋๋ ์ด์์ด๊ณ ์ด ๋ฌธ์ ๋ก ZAP์ ์์คํ ์ ์๋ฐ๋ฅผ ์ฌ์ฉํ๋ ๊ฒ์ด ์๋ ZAP ๋ด๋ถ์ Java SDK๋ฅผ ๊ฐ์ง๊ณ ์คํํ๋ ํํ๋ก ๋์ํ์์ต๋๋ค. ๋ฌผ๋ก ์ด๋ก์ธํด์ ์์คํ ์๋ฐ๊ฐ ๋ฌธ์ ๊ฐ ์๊ธด ๊ฒฝ์ฐ์๋ ์ง์ฅ๋ฐ์ง ์๊ณ ์คํํ ์ ์์์ต๋๋ค. ๋ค๋ง ์ด์ ๋ ์๋ฐ 8 ๋ฒ์ ์ ์์กด์ฑ์ ๋ฒ์ด๋ ๊ฒ์ด๊ธฐ ๋๋ฌธ์ ๋ ๊ฑฐ์ ์๋ฐ์ ๋ฌธ์ ๋ฅผ ํผํด๊ฐ ์ ์๋ ๊ธฐํ๊ฐ ๋์๋ค์ :D
Custom pages
Custom Pages can be defined on a per context basis - these allow ZAP to identify various non-standard error handling conditions such as custom error pages and handle them more effectively.
์ด์ ๋ถํฐ Custom page๋ฅผ Context(Burp์์ Scope) ๋ณ๋ก ์ ์ํ์ฌ ์ฌ์ฉํ ์ ์์ต๋๋ค.
์ด๊ฒ๋ ํ์ฉํ ์ ์๋ ๋ถ๋ถ์ด ๋ง์ ๊ธฐ๋ฅ์ธ๋ฐ์, ์๋น์ค ๋ณ๋ก 200 OK ๋์ค๋ Custom Error ํ์ด์ง๊ฐ ์กด์ฌํ ์ ์์ต๋๋ค. ์ด๋ฌํ ํ์ด์ง๋ค์ ๋ฏธ๋ฆฌ ์ ์ํด์ Fuzzing์ด๋ ํ ์คํ ๋จ๊ณ์์ ๊ฑธ๋ฌ๋ผ ์ ์์ต๋๋ค.
Authentication Polling
The concept of Authentication Verification Strategies has been introduced which allows ZAP to handle a wider range of authentication mechanisms including the option to poll a specified page for the authentication status of a user.
Authentication Verification Strategies ๊ฐ๋ ์ ๋์ ํ๋ค๊ณ ํฉ๋๋ค. ์ง์ ๋ ํ์ด์ง๋ฅผ Polling ํ๋ ๋ฐฉ์์ผ๋ก ์ธ์ฆ ์ํ๋ฅผ ์ฒดํฌํ๋ ๋ฐฉ๋ฒ์ ๋๋ค.
Site Tree Control
Scripts and add-ons now have full access to how nodes are represented in the Sites Tree. Both Input Vector Scripts and add-ons which include implementations of the Variant class can change both the tree structure and names used for new nodes.
์ค์ํ ์ ๋ฐ์ดํธ ๋ถ๋ถ ์ค ํ๋ ์ธ๋ฐ์, 2.10 ๋ถํฐ Add-On ๊ณผ Scripts์์ Site tree๋ฅผ ์ ์ดํ ์ ์์ด์ง๋๋ค. ์ด๋ ํ์ฅ ๊ธฐ๋ฅ๋ค์ด ์กฐ๊ธ ๋ ์ ์ฐํ๊ฒ ๊ฐ๋ฐ๋ ์ ์๋๋ก ์ ๋๋ ๊ฒ ๊ฐ๋ค์. ์ด์ฉ๋ Sites tree๋ฅผ ์ ์ดํ๋ฉด ์ด๋ฏธ ์์ง๋ Endpoint URL์ ์ป๊ฑฐ๋ ์ถ๊ฐ/์์ ํ๋ ๋ฐฉ์์ผ๋ก๋ ์ฌ์ฉํ ์ ์์ด์ ๊ฐ์ธ์ ์ผ๋ก ๋ง์๋๋ ๋ถ๋ถ์ ๋๋ค.
Dynamic Look and Feel (Dark mode)
The Desktop UI includes a new set of open source Look and Feelโs c/o FlatLaf including 2 Dark Mode options. You can also dynamically switch the Look and Feel via a button on the Top Level Toolbar.
์ ๊ฐ ZAP์ ๊ฐ์ ๋ก Weekly ๋ฒ์ ์ ์ฌ์ฉํ๊ฒ ๋ง๋ ๊ธฐ๋ฅ์ ๋๋ค. ์ด๊ธฐ์๋ ๋คํฌ๋ชจ๋ ์ง์๋ง ์์์ง๋ง ์ดํ์ ๋์ ์ผ๋ก LaF๋ฅผ ๋ณ๊ฒฝํ ์ ์๋๋ก ์ถ๊ฐ๋์์ต๋๋ค.
Authentication headers via env vars
A new set of environmental variables are available which allow you to easily add an authentication header to all of the requests that are proxied through ZAP or initiated by the ZAP tools, including the spiders and active scanner. These are documented on the Authentication page.
๊ธฐ์กด์๋ Custom ํค๋ ๋ฑ์ ์ถ๊ฐํ๊ธฐ ์ํด์ replacer์ ๊ฐ์ ํ์ฅ์ ์ด์ฉํด์ ๋ณ๊ฒฝํ์ด์ผ ํฉ๋๋ค. ์ด๋ฌํ ๊ณผ์ ์ด Env Vars๋ผ๋ ํ๋ผ๋ฏธํฐ์ ์ ์ํ์ฌ ๋ชจ๋ ์์ฒญ์ ์๋ํ ํค๋๋ฅผ ๋ถ์ฌ์ฃผ๋ ๋ฑ์ ์ก์ ์ด ๊ฐ๋ฅํด์ง๋๋ค.
SOCKS Proxy Config
It is now possible to dynamically configure the outgoing SOCKS proxy in the Optionsโ Connection screen. By default the SOCKS proxy configuration applies to all connections made by ZAP.
SOCKS Proxy๋ฅผ ZAP์์ ์ ์ดํ ์ ์๊ฒ ๋ฉ๋๋ค.
Cached scripts
The following script types are now cached between invocations reducing the time it takes to reuse them:
๋ช๋ช ์ ํ์ ์คํฌ๋ฆฝํธ๋ค์ด ํธ์ถ๊ฐ์ ์บ์๋์ด์ ์ฌ์ฌ์ฉ์ ๊ฑธ๋ฆฌ๋ ์๊ฐ์ ๋จ์ถํ๋ค๊ณ ํฉ๋๋ค. ์ฐ๋ฆฌ๊ฐ ๋ญ๊ฐ ๋ ์๋ ๋ถ๋ถ์ ์๊ณ ์ฒด๊ฐ์ ์ผ๋ก ์๋๊ฐ ์กฐ๊ธ ๋ ๋นจ๋ผ์ง๊ฒ ๋ค์.
and New/Updated Add-Ons, APIs
์ผ๋ถ alpha/beta์ ์๋ Add-On๋ค์ด Release๋ก ๋์ด์์ต๋๋ค. API๋ ์ถ๊ฐ๋๊ฒ ์๋ ๊ฒ ๊ฐ๊ตฌ์. ์์ธํ๊ฑด Release ๋ ธํธ๋ฅผ ์ฐธ๊ณ ํด์ฃผ์ธ์.
์๋ ค์ง์ง ์์ ์ ๋ฐ์ดํธ ๋ด์ฉ
Content-Length ๊ฐ์ ์์ ๊ฐ๋ฅ(for HTTP Request Smuggling)
์ด์ Manual request์์ Content-Length๋ฅผ ์ ์ดํ ์ ์์ต๋๋ค. ๊ธฐ์กด์๋ ZAP์ด ์ด ๊ธฐ๋ฅ์ ์ง์ํ์ง ์์์ HTTP Request Smuggling์ ํ ์คํ ํ ๋ ์กฐ๊ธ ๋ถํธํ ๋ถ๋ถ์ด ์์์ง์. (TL:CE์ ๊ฒฝ์ฐ๋ ๋ฌด์กฐ๊ฑด Burp์์๋ง ํ ์คํ ํ ์ ๋ฐ์ ์์์ต๋๋ค)
๋ค๋ง Requester ๊ฐ์ ํ์ฅ ๊ธฐ๋ฅ์ชฝ์์๋ ํด๋น ๋ฒํผ์ด ๋ ธ์ถ๋์ง ์๋ ๊ฒ์ผ๋ก ๋ณด์ ํด๋น ํ์ฅ ๊ธฐ๋ฅ์์ ์ ๋ฐ์ดํธ๋ฅผ ํด์ค์ผ ํ ๊ฒ ๊ฐ๋ค์.
Mac์์ ์ ์ฒดํ๋ฉด์ ์ง์ํจ
์ด์ ๋ฉ๋๋ค. (2.9๋๋ ์๋์ ๊ณ ์..)