ZAP 2.8 Review ⚡️

드디어, 정말 드디어 ZAP 2.8이 릴리즈 되었습니다.

어제 새벽에 simon이 2.8 릴리즈 프로세스를 시작했다고 했고, 테스트만 마치면 바로 릴리즈 된다고 했었는데요, 그러고 한 6시간 뒤 공식적으로 2.8이 스탠다드 버전이 되었습니다.

이젠 스탠다드 버전에서 HUD 기능을 비롯해 여러가지 추가된 기능을 사용해 볼 수 있을 것 같네요. 그럼 이번 2.8 버전에서 추가된 기능들에 대해 정리해 봅시다.

HUD(Head up display)

가장 첫번째는 HUD입니다. ZAP이 추구하는 인터페이스로 기존에 툴에서 분석하는것보다 나아가서 웹 브라우저에서 ZAP을 컨트롤하고 사용할 수 있도록 해줍니다. 자헤한 내용은 아래 링크에서 참고해주세요.

(HUD Review: https://www.hahwul.com/2018/12/owasp-zap-hud-zaproxy-new-interface.html)

Quick Start Screens

메인 메뉴에서 약간 변경이 있었습니다. 기존에 퀵 스캔은 유지하고 내장 브라우저를 여는 부분이 HUD를 포함한 기능으로 대체되었습니다.

Automated Scan: allows you to launch an automated scan against an application and the choice of traditional and/or ajax spider. Manual Explore: allows you to launch browsers configured to proxy via ZAP with the option to enable the HUD

Add scan rule

스캔 룰 조금 추가됬습니다. 이건 상시 업데이트이기도 하니 뭐 크게 중요한건 아닙니다.

  • Active Scan Rules - Release
    • Promote Source Code Disclosure WEB-INF (Issue 4448).
  • Passive Scan Rules - Release
    • Promote Charset Mismatch Scanner to release (Issue 4460).
    • Promote ViewState Scanner to release (Issue 4453).
    • Promote Insecure JSF ViewState Scanner to release (Issue 4455).
    • Promote Insecure Authentication Scanner to release (Issue 4456).
    • Promote Information Disclosure Debug Errors Scanner to release (Issue 4457).
    • Promote CSRF Countermeasures Scanner to release (Issue 4458).
    • Promote Cookie Loosely Scoped Scanner to release (Issue 4459).

Headless 브라우저 지원

이제 공식적으로 ZAP에서 헤드리스 브라우저를 별도로 지원합니다. 원래 스캐닝 기능쪽에 내장되어서만 사용되었는데, 내장 브라우저쪽으로 헤드리스가 추가되는 것 같네요.

Etc…

이외에도 자잘한 기능 및 코드 리팩토링 등등 여러가지 변경사항이 있습니다. 엄청나게 많았던 버그들도 다 처리한 것 같구요. 자세한 내용은 릴리즈노트 보시면 좋습니다. https://github.com/zaproxy/zap-core-help/wiki/HelpReleases2_8_0

How to update?

ZAP은 자체적으로 업데이트 기능을 내장하고 있습니다. ZAP 키시면 아래와 같이 바로 업데이트 관련 내용이 나타나고 해당 부분을 통해 업데이트 가능합니다.

아니면 새로운 스탠다드 버전을 아래 링크에서 직접 받아주셔도 됩니다. Weekly나 개발버전으로 사용하시던 분들은 브랜치도 싹 조정하셔야할 것 같네요.

  • https://github.com/zaproxy/zaproxy/wiki/Downloads