한국 기준으로 새해까지 약 30분이 남았고, 올해의 글은 이 글이 마지막 글이 될 것 같습니다. 분명 2020 회고한지가 얼마 안된 것 같은데, 벌써 2021도 회고도 이미 지나버렸네요 😱
오늘은 제 회고 내용 중 하나인 Main Weapon에 대한 이야기를 하려고 합니다 :D
Main Weapon?
여러분들은 분석 시 어떤 도구를 제일 좋아하시나요? 여기서 하나 고를 수 있는 도구를 저는 Main Weapon이라고 생각합니다.
저는 긴 시간 동안 Burpsuite 유저였었고, 2018년 정도부터 ZAP에 다시 관심이 크게 생겼고 결국 작년까지는 Burpsuite와 ZAP을 동시에 사용하는 듀얼 스타일을 고수했었습니다.
그리고 작년 이맘 때 쯤 다시 What I use ZAP이란 글을 통해서 ZAP의 단독 사용을 이야기드렸던 것 같네요. 이후에 ZAP의 여러가지 숨은 기능과 이를 활용하는 방법들을 다듬고, 결국 현재 ZAP의 매력에 완전히 매료되었습니다.
아마도 딱 이 제 상황은 그림이 가장 적합할 것 같네요.
앞으로는? with Proxify!
앞으로도 ZAP을 Main weapon으로 사용하겠지만, 사실 이전부터 제가 관심가지던 도구가 하나 더 있습니다. 바로 project discovery의 proxify인데요. 2022년에는 이를 좀 더 활용해보고자 합니다.
proxify도 ZAP, Burpsuite, Hetty와 같이 분석을 위한 Proxy 도구인데, 약간 성향이 다르긴합니다. proxify는 뭔가 수동적인 분석을 위한 도구라기 보단 로그를 쌓고 관리하고, 자동화된 플로우를 태우기 좀 더 유용한 도구입니다. (제가 리뷰한줄 알았는데, 글이 없었네요 ㅜㅜ)
제가 오래전에 WASE(Web Audit Search Engine)라고 해서 분석 로그를 ES 같은 곳에 누적하고, 이를 기반으로 유사 파라미터, 취약점 등을 쉽게 식별하고 버그 바운티 등에서 활용할 수 있도록 개발하려고 했었는데요(정확히는 개발하다가 접었습니다). 사실상 지금은 proxify가 이 역할을 충분히 할 수 있는 상태라서 이제 다시 한번 이러한 구조를 가져볼까 합니다.
내년에 제대로 ZAP+Proxify 조합을 사용해보고 후기를 공유드리도록 할게요!
2021 My Articles of ZAP
제가 한번 정리해서 보기 위함이기도 한데, 올 해 작성했던 ZAP 관련 글들을 모아봤습니다. 생각보다 많아서 조금 놀랬네요 😮
- ZAP의 새로운 Import/Export Addon, 그리고 미래에 대한 뇌피셜
- ZAP RootCA를 API와 Cli-Arguments로 제어하기
- DOM XSS? 그렇다면 Eval Villain
- ZAP Browser에서 Extension 영구 적용하기
- ZAP 스크립팅으로 빠르게 Fake response 만들기
- Solving issue the POST scan in zap-cli not work
- ZAP 2.11이 릴리즈되었습니다! 빠르게 리뷰하죠 ⚡️
- 이제 Interact.sh 가 ZAP OAST에서 지원됩니다
- ZAP update domains (core and addon)
- ZAP 2.11 미리보기
- ZAP Script-base Authentication
- ZAP의 fuzz-script를 이용해 Fuzzing 스킬 올리기
- Authentication Spidering in ZAP
- Testing Access-Control with ZAP
- ZAP에 곧 추가될 FileUpload AddOn 살펴보기
- ZAP Automation GUI
- ZAP OAST 릴리즈! 이제 ZAP에서 Out-Of-Band가 더 쉬워집니다 🚀
- If you need test Out-of-band on ZAP? Use OAST!
- ZAP OAST 미리 구경하기 (for OOB)
- ZAP Plug-n-Hack을 이용한 DOM/PostMessage 분석
- ZAP Scanning to Swagger Documents
- Customize request/response panel in ZAP
- ZAP Passive Scan Tags와 Neonmarker 그리고 Highlighter
- ZAP의 새로운 Report Add-on, ‘Report Generation’
- ZAP Automation
- ZAP Token Generation and Analysis 살펴보기
- Options rule configuration in ZAP
- ZAP context based scanning
- How to set ZAP active scan input vector in daemon mode
- Make and change default scan policy in ZAP cli interface
- ZAP Forced browse 와 Fuzz에서 Sync wordlist 사용하기
- Semi-automated security testing using Zest script of ZAP
- How to applying IntelliJ theme in ZAP
혹시나 ZAP에 대한 제 글이 더 궁금하시다면 #ZAP에서 모두 확인할 수 있으니 참고해주세요 :D