 |
| zaa....aaa....p......은....저..ㅇ...마..ㄹㄹ.....빠..ㄹㄹ...ㅏ... |
우선 Java App으로 JVM 위에서 동작하고, 기본적인 동작 자체도 굉장히 느릴뿐더러 기본적으로 제공되는 옵션들로 인해 한참 켜두게 되면 버벅거리거나 심한 경우 PC가 죽는 경우까지 만날 수 있습니다.
오늘은 ZAP을 최적화하는 방법 4가지에 대해 이야기할까 합니다.
(솔직히 거의 다 passive scan 관련이네요…)
Passive scan rule 조정하기
Passive 스캔에서 적용되는 룰들을 on/off할 수 있습니다. 블필요한건 내려주세요. |
| 저는 거의 custom rule만 쓰고 있어서 평소에 다 off로 해두고 있습니다. |
Passive scan Tags
Passive에서 체크하는 태그들을 지정할 수 있는데, 패시브 스캔 성능 자체에 영향을 줄 수 있는 부분이라 개인적으론 유지하는게 좋을 것 같습니다만, 혹시나 그래도 느리다면 이 부분도 조정해주시면 빨라집니다.
Passive Scanner
사실 모든 페이지에 대해 패시브 스캐닝을 돌 필요는 없습니다. in scope만 돌도록 적용해주시는게 좋긴합니다.
(어차피 패시브 결과 거의 안볼꺼자나요)
Display
ZAP쪽에서 기본적으로 설정된 부분이기도 한데, Request/Response의 데이터가 지정된 길이 이상의 데이터로 발생하는 경우 바로 내용으로 표기하지 않고 Large data 어쩌고 저쩌고 하는 식으로 표현해줍니다.실제로 zap이 가장 느려지는 부분이고, 보통 js 파일들때문에 zap이 잘 뻗기 적당한 수치의 값 조정은 필수인 것 같습니다. (옆동네 burp는 괜찮더만 넌 왜그러니..)
그리고.. 이미지 처럼 9999999 넣어주면, 거의 모든 요청이 보이기 때문에 이미지 따라서 설정하지면 안됩니다 ㅜㅜ
아무튼 이 부분은 되도록이면 적당한 수치의 값으로 넣어주시는걸 추천드립니다(이미지 따라하지 마세요)
 |
HAHWULSecurity engineer, Gopher and H4cker!
 |
0 개의 댓글:
Post a Comment