ZAP 2.11 Review ⚡️

최근에 Simon, ZAP 공식 트위터 계정에서 2.11에 대한 릴리즈가 임박했음을 알렸습니다.

https://twitter.com/zaproxy/status/1440308206782222337

2.10 버전이 나온지 1년이 다되가고 있고, 최근 ZAP의 변화가 재미있던지라, 저는 한발 앞서 2.11에서 어떤 기능들이 적용될지 살짝 들여다 봤습니다.

(사실 이 글의 초안은 2주전인가? 시작됬었는데, 이런 저런 이슈로 놓치고 있었네요.. 덕분에 발표도 놓쳤죠 😭)

자 그럼 대충 뭐가 바뀔지 슬쩍 살펴봅시다. 어떻게요? git commit으로요 :D

2.11 Milestone

다행스럽게도 ZAP Core 팀은 Github의 milestone 기능을 잘 사용하고 있습니다. 릴리즈노트 작성할 때 유용해서 저도 개인 프로젝트에서 굉장히 잘 사용중입니다.

https://github.com/zaproxy/zaproxy/milestone/7

약 50개 정도의 이슈가 2.11 Milestone 으로 지정되었는데, 특별하게 어떤 점들이 바뀌는지 살펴보도록 합시다.

관심가는 부분들

Manual Request Editor의 Send에 단축키 지원

https://github.com/zaproxy/zaproxy/issues/6448

드디어 Send에 대한 단축키가 추가됬습니다. 사실 없다고 그리 불편한건 아니지만, HTTP Request Smuggling과 같이 여러번의 요청을 빠르게 보내야 하는 경우 단축키의 필요성이 느껴지는건 사실입니다. 어쨌던 이번에 추가된건 굉장히 맘에드는 포인트네요 :D

Manual auth users가 session 설정없이 적용 가능

제가 이전에 Authentication 관련해서 쓴 글들을 보면 모두 session manage에서 설정하고 사용하는 것을 볼 수 있는데요, 이제는 이 과정 없이 바로 사용자를 생성하여 쓸 수 있어집니다.

OAST in History

https://github.com/zaproxy/zaproxy/pull/6675

최근에 추가된 AddOn 중 중요하다고 생각되던 기능인데, Core쪽과도 연계되어 History 탭에서도 표기되도록 추가됩니다. HistoryReference에 21, 22 값으로 각각 TYPE_CALLBACK , TYPE_OAST로 추가되며 이는 즉 기본 History 탭에서 Callback과 OAST를 구별해서 볼 수 있다는 것을 의미하기도 합니다.

사실 굳이 별도의 탭에서 볼 필요는 없었으니깐요 :D

(물론 History가 빠르게 올라가기 떄문에 따로 수집되는건 좋긴한데, 그래도 보통의 SSRF 테스트에선 즉각 반응이 오는 경우가 많아 History에도 노출되는게 더 편할 것 같네요)

Quick add origin domain to context

https://github.com/zaproxy/zaproxy/pull/6559

https://github.com/zaproxy/zaproxy/issues/6023

이제 History, Sitetree에서 어떤 URL이던 Origin 도메인을 Context로 바로 추가할 수 있습니다. 테스팅 중간에 Context를 추가할 때 Origin Request에서 진행하지 않으면 해당 경로 기반으로 Context에 추가되서 불편했던 부분인데 개선되어서 좋네요.

Conclusion

트윗에는 2.11이 임박했다곤 하지만, 제 생각에는 11월은 되어야 나올 것 같단 생각이 듭니다. 어쨌던 2.9 버전 정도부터 ZAP의 사용성과 기능에서 크게 개선이 이루어지고 있어서, 저와 같은 ZAP 유저 입장에선 정말 반가운 소식이고 좀 더 나아진 2.11 버전을 기대해볼 수 있을 것 같네요 :D

사실 ZAP Core 부분에서의 업데이트는 기능적으로 큰 변화는 없습니다. 오히려 새로운 기능들은 AddOn쪽에서 추가되고 업데이트 되기 때문에 보통 버그 픽스 정도로 버전업이 이루어지곤 합니다. 다만 이렇게 소소하게 개선되는 부분들을 잘 파악하고 있다면 ZAP을 좀 더 스타일리쉬하게 사용할 수 있습니다. 이는 실제로 능률과 결과에도 영향을 미치는 부분이구요.

어쩄던 재미없고 지루한 내용 읽어주셔서 감사합니다. (순수히 제가 미리 파악을 위해서 작성한 글이다보니..)

저는 그럼 2.11 버전 릴리즈가 되면 다시 한번 글로 만나보도록 할게요 :D