웹 취약점 탐지 실습

OWASP-ZAP을 이용한 웹 취약점 탐지 실습이다. 내용설명보다는 실습내용 위주로 포스팅을 했다.

1. DVWA의 사이트 맵 획득하기.

먼저 익스플로러와 OWASP-ZAP, 메타스플로잇 터블과 연동될 수 있도록 네트워크 설정을 해주어야 한다. OWASP-ZAP의 주소와 포트를 보고 인터넷 옵션->연결로 가서 프록시서버 네트워크를 맞춰준다.

자신의 IP주소를 입력했을때 익스플로러 창에 이런식으로 메트스플로잇이 화면에 출력되면 정상적으로 동작되는 것이다. 이 때 vmware에 설치한 메타스플로잇 터블을 실행시켜놔야 한다.

DVWA를 실행시켜 admin, password를 입력해 로그인해주면 다음과 같은 창이 뜨는데 DVWA의 보안을 가장 낮은 low로 설정해주고 Brute Force탭으로 가서 이름과 비밀번호에 아무거나 입력해준다.

탐지된 정보들을 보면 빨간색으로 표시를 해놨는데 Vuluribility라는 폴더가 탐지되었을 것이다. 이 폴더를 열어보면 여러가지 파일들이 탐지되었음을 알 수 있다. 정상적으로 DVWA의 사이트 맵을 획득하였음을 알 수 있다.