나의 메인 Weapon 이야기 ⚔️ (ZAP and Proxify)

hahwul

한국 기준으로 새해까지 약 30분이 남았고, 올해의 글은 이 글이 마지막 글이 될 것 같습니다. 분명 2020 회고한지가 얼마 안된 것 같은데, 벌써 2021도 회고도 이미 지나버렸네요 😱

오늘은 제 회고 내용 중 하나인 Main Weapon에 대한 이야기를 하려고 합니다 :D

Main Weapon?

여러분들은 분석 시 어떤 도구를 제일 좋아하시나요? 여기서 하나 고를 수 있는 도구를 저는 Main Weapon이라고 생각합니다.

저는 긴 시간 동안 Burpsuite 유저였었고, 2018년 정도부터 ZAP에 다시 관심이 크게 생겼고 결국 작년까지는 Burpsuite와 ZAP을 동시에 사용하는 듀얼 스타일을 고수했었습니다.

그리고 작년 이맘 때 쯤 다시 What I use ZAP이란 글을 통해서 ZAP의 단독 사용을 이야기드렸던 것 같네요. 이후에 ZAP의 여러가지 숨은 기능과 이를 활용하는 방법들을 다듬고, 결국 현재 ZAP의 매력에 완전히 매료되었습니다.

아마도 딱 이 제 상황은 그림이 가장 적합할 것 같네요.

물론 영화 내용이랑은 안맞아요. 그냥 토르가 표현하기 좋았을 뿐..

앞으로는? with Proxify!

앞으로도 ZAP을 Main weapon으로 사용하겠지만, 사실 이전부터 제가 관심가지던 도구가 하나 더 있습니다. 바로 project discovery의 proxify인데요. 2022년에는 이를 좀 더 활용해보고자 합니다.

proxify도 ZAP, Burpsuite, Hetty와 같이 분석을 위한 Proxy 도구인데, 약간 성향이 다르긴합니다. proxify는 뭔가 수동적인 분석을 위한 도구라기 보단 로그를 쌓고 관리하고, 자동화된 플로우를 태우기 좀 더 유용한 도구입니다. (제가 리뷰한줄 알았는데, 글이 없었네요 ㅜㅜ)

제가 오래전에 WASE(Web Audit Search Engine)라고 해서 분석 로그를 ES 같은 곳에 누적하고, 이를 기반으로 유사 파라미터, 취약점 등을 쉽게 식별하고 버그 바운티 등에서 활용할 수 있도록 개발하려고 했었는데요(정확히는 개발하다가 접었습니다). 사실상 지금은 proxify가 이 역할을 충분히 할 수 있는 상태라서 이제 다시 한번 이러한 구조를 가져볼까 합니다.

내년에 제대로 ZAP+Proxify 조합을 사용해보고 후기를 공유드리도록 할게요!

2021 My Articles of ZAP

제가 한번 정리해서 보기 위함이기도 한데, 올 해 작성했던 ZAP 관련 글들을 모아봤습니다. 생각보다 많아서 조금 놀랬네요 😮

혹시나 ZAP에 대한 제 글이 더 궁금하시다면 #ZAP에서 모두 확인할 수 있으니 참고해주세요 :D

#security #zap