Back
Featured image of post ZAP과 Burpsuite에서 feedback 정보를 수집하지 못하도록 제한하기

ZAP과 Burpsuite에서 feedback 정보를 수집하지 못하도록 제한하기

최근에 ZAP의 Core addon 중 하나인 Callhome이 업데이트 되었습니다. 기존에 Callhome은 단순히 메인에 News 정보를 보여주기 위해 만들어진 기능인데, 이번에 Telemetry 관련 부분이 추가됬습니다.

Telemetry는 ZAP 사용성 정보등을 수집하기 위한 기능인데요, ZAP쪽 설명으로는 취약점이나 개인정보 등은 수집하지 않고 단순 통계 정도만 수집한다고 합니다. 어쨌던 저처럼 이런 정보 수집에 민감하신 분들은 별도로 Disable 처리 하셔야할 것 같습니다. (Burpsuite는 오래전부터… 😱)

what

오늘은 겸사겸사 ZAP과 Burpsuite에서 이러한 사용성 정보를 수집하는 이유와 이를 Disable 하는 방법에 대해 정리해둘까 합니다.

그들은 왜 정보를 수집할까요?

사실 우리가 사용하는 많은 어플리케이션들은 정보를 수집하고 있습니다. 가볍게는 사용여부, 무겁게는 시스템 정보와 행위 정보 등 많은 정보를 수집해갑니다. 그리고 이러한 액션을 Disable 할 수 있는 요소는 잘 보이지 않도록 숨겨두죠 😩

정보를 수집하는 이유는 다양하지만 명확한 목적은 하나입니다. 사용성 정보를 토대로 현재의 문제점을 식별하고 앞으로의 방향성을 잡기 위해 수집할겁니다. 그렇지만 사용자 입장에선 썩 달가운 내용은 아닙니다.

ZAP

Collected information

예전에 작성된 ZAP Blog의 게시물을 보면 아래 종류의 정보를 수집하려고 하네요.

  • Information about the environment in which ZAP is running:
    • Operating System
    • Java Version
    • Amount of memory available
    • If it is running in a container like Docker
  • The ZAP features being used, such as:
    • Traditional Spider
    • Ajax Spider
    • Active scanner etc
  • The optional add-ons which have been installed
  • The ZAP active and passive rules being used
  • The numbers of vulnerabilities each types of rule reports
  • The numbers of issues flagged as false positives

실제로는 코드를 보면 저것보다 약간 적은 데이터인 것 같긴한데요. 그래도 AddOn 통계와 OS 정보 정도는 수집되니 참고하시길 바래요! 코드를 보면 아래 도메인으로 수집하는 것 같네요.

private static final String ZAP_CFU_SERVICE = "https://cfu.zaproxy.org/ZAPcfu";
private static final String ZAP_NEWS_SERVICE = "https://news.zaproxy.org/ZAPnews";
private static final String ZAP_TEL_SERVICE = "https://tel.zaproxy.org/ZAPtel";

저는 개인적으로 정보성 데이터를 수집하는 것 조차 별로 좋아하진 않아서 Disable 하고 사용하고 있습니다. GUI와 Cli에서 아래와 같은 방법으로 Disable이 가능합니다.

Disable - GUI

Options > Call home > Telemetry Enabled 체크 해제

1414 Telemetry Enabled 체크 해제

Disable - CLI

cli에선 -notel flag를 추가하여 zap 구동 시 disable 시킬 수 있습니다.

./zap.sh -notel

Burpsuite

Disable - GUI

Burpsuite은 아주 오래전부터 이러한 정보를 수집하고 있었습니다. 제가 이것도 글을 썼던 기억이 있긴한데.. 못찾겠네요 😭

User Options > Misc > Performance Feedback 에 들어가셔서 Submit anonymous feedback about Burp’s performance를 체크해재 해주시면 됩니다.

1415 Submit anonymous feedback about Burp’s performance 체크해제

References