ZAP 2.11이 릴리즈되었습니다! 빠르게 리뷰하죠 ⚡️

by hahwul 2 min read

드디어 ZAP 2.11 버전이 릴리즈 되었습니다 👏🏼🎉

2.9 ⇒ 2.10 만큼 큰 변화가 있는건 아니였지만, 그래도 ZAP Core팀에서 이야기하는 주요 개선사항에 대해 살펴보도록 하죠. 물론 큰 변화가 없다고 해도 전반적인 스캔 룰이나 AddOn들은 마이너 패치인 만큼 많이 업데이트 되긴 합니다. (PassiveRule에 제 PR도 2.11에서 반영됬네요 :D)

AddOn쪽은 많아요 😮

Release note and tag

  • https://www.zaproxy.org/blog/2021-10-07-zap-2-11-0/
  • https://github.com/zaproxy/zaproxy/releases/tag/v2.11.0

Review major change

Alert tags

각 alert 항목에서 key:value 형태로 tag 추가가 가능합니다. 기본으로는 OWASP 2021, 2017의 항목이 매핑되어 있고, 커스텀하게 내용을 추가할 수 있습니다. 여기에 추가된 데이터는 Report 등에서 활용됩니다.

Automation framework

2.10과 2.11 사이에 AddOn으로 먼저 추가된 Automation framework 기능입니다. CLI/GUI 기반으로 자동화 테스팅을 구성할 수 있는 기능으로 잘 사용하면 진짜 좋은 기능이죠. 이전에 제가 작성한 글을 참고해주세요.

https://www.hahwul.com/2021/08/14/zap-automation-gui/

Report generation

Automation framework와 함께 Report쪽에서도 큰 변화가 있었는데, 바로 Report generation입니다. 기존에 있던 Report 관련 도구들과 유사하긴 하지만, Automation framework와 연동하여 사용할 수 있다는 점에서 ZAP을 기반으로한 자동화 플로우를 구성하신다면 정말 유용하게 사용하실 수 있는 기능입니다.

이것도 제 이전 글을 참고해주세요!

https://www.hahwul.com/2021/06/26/zaps-new-report-addon-report-generation/

OAST Support

OAST는 ZAP에서의 OOB 테스팅 도구입니다. BurpSuite의 Collaborator를 생각하시면 되고, 기본적으로는 BOAST라는 오픈소스 도구, 그리고 ProjectDiscovery의 Interactsh 와도 연동할 수 있어서 OOB 기반의 테스팅에선 엄청 유용한 도구입니다. OAST 관련해서 제가 포스팅을 여러개 했으니 참고해주세요 :D

Retest

제가 따로 글을 쓰진 않았지만 Retest도 Automation framework에 주로 연동되는 기능입니다. 각 룰에 의해 탐지되어 alerts에 나타나는 항목에 대해 이행점검을 쉽게할 수 있도록 제공해주는 기능입니다.

https://www.zaproxy.org/blog/2021-08-23-retest-with-zap/

Docker

ZAP 공식 도커 이미지의 업데이트 일정에 변화가 있다고 합니다. (월별로) 다만 저는 잘 안쓰는 상태라 자세히는 모르겠네요.

Statistics

ZAP은 Statistics라고 해서 ZAP의 실시간 상태와 통계를 외부 도구에 연동하여 사용할 수 있습니다. 이 부분에 기능 개선(제가 알기론 Spider 쪽 통계가 포함되도록 추가됬다고 해요)이 있고, Automation framework와 연동된다고 합니다.

제가 작년 초에 작성했던 글과 연결되는 내용인데요, 이를 활용해서 Grafana 등의 도구로 ZAP의 상태를 모니터링할 수 있도록 구성할 수 있습니다.

https://www.hahwul.com/2020/11/03/building-a-zap-monitoring-environment/

Small change

제가 9월말에 ZAP 2.11 미리보기란 글을 작성 했었습니다. 여기 항목들을 title만 때서 아래에 추가해 둘게요!

  • Manual Request Editor내 Send hotkey 지원
  • Manual authentication users에서 session 설정없이 사용할 수 있도록 변경
  • OAST 이력이 History 탭에서도 노출되도록 변경
  • Context 등록 시 조금 더 쉽게 등록할 수 있도록 수정

Conclusion

예상대로 OOB 기능인 OAST와 Cli/GUI 자동화인 Automation이 주를 이루었습니다. 솔직히 현재 ZAP의 미래 청사진은 Automation쪽에 많이 있다고 봅니다. (그만큼 가능성이 보이고, 지금도 굉장히 쓸만한 기능이여서요 😍)

ZAP 버전이 점점 올라감에 따라서 BurpSuite와 굉장히 다른 특색을 가지기 시작 했네요. 겁먹지 말고 저와 함께 ZAP의 세계를 탐험해보시죠. 혹시 알까요? 더 강력한 도구를 손에 쥐게 될지 😎⚡️

References

  • https://www.zaproxy.org/blog/2021-10-07-zap-2-11-0/
  • https://www.hahwul.com/2021/09/28/peek-the-zap-2.11/
  • https://www.hahwul.com/2020/11/03/building-a-zap-monitoring-environment/
  • https://www.hahwul.com/2021/07/15/zap-oast/
  • https://www.hahwul.com/2021/08/06/owasp-zap-oast-kor/
  • https://www.hahwul.com/2021/10/05/support-interactsh-on-zap-oast/
  • https://www.hahwul.com/2021/06/26/zaps-new-report-addon-report-generation/
  • https://www.hahwul.com/2021/08/14/zap-automation-gui/