- OWASP(Open Web Application Security Project)에서 개발한 무료 오픈소스 웹 애플리케이션 보안 스캐너이다.
- 주로 웹 애플리케이션의 취약점을 찾기 위해 사용된다.
주요 기능
- 프록시 서버 기능
- 프록시 서버로 동작하여 웹 브라우저와 웹 서버 간의 트래픽을 가로채고 수정할 수 있다.
- HTTP 요청과 응답을 분석하고 조작할 수 있다.
- 자동 스캔
- SQL 인젝션, XSS와 같은 일반적인 보안 취약점을 탐지한다.
- 수동 테스트
- 보안 전문가들이 수동으로 취약점을 찾기 위해 사용하는 다양한 도구들을 제공한다.
- 보고서 생성
- 스캔 결과를 기반으로 상세한 보고서를 생성하여 보안 취약점을 문서화하고, 수정 권장 사항을 제시한다.
- 플러그인 및 확장 기능
- 다양한 플러그인과 확장 기능을 통해 기능을 확장할 수 있다.
- 사용자 정의 스크립트와 플러그인을 추가하여 ZAP의 기능을 강화할 수 있다.
진단 화면
진단 결과
2024-05-14-ZAP-Report-.html
0.24MB
진단 결과에 따른 추가 설정 했던 것들
- Content-Security-Policy
- XSS 및 데이터 주입 공격을 방지한다.
- X-Frame-Options DENY
- 이 페이지가 어떤 프레임에도 표시되지 않도록 한다.
- Strict-Transport-Security
- HTTPS만 사용하도록 강제
- X-Content-Type-Options
- MIME 타입 스니핑을 방지
- Cache-Control
- 캐시 제어를 위해 Cache-Control 헤더를 설정
- Pragma
- HTTP/1.0과의 호환성을 위해 설정
- Expires
- 캐시 만료를 위해 설정
- Server
- 서버 정보를 숨기기 위해 Server 헤더를 빈 값으로 설정