네트워크 기반의 취약점을 여러 종류의 웹 애플리케이션 스캐너로 스캐닝을 하는 것은 Nessus와 Nexpose 둘 모두를 사용해 스캐닝하는 것만큼 중요하다. 동일한 애플리케이션을 스캐닝한 결과를 비교한 내용은 그림 2-49와 같다. 왼쪽은 ZAP으로 스캐닝한 결과이고 오른쪽은 Burp로 스캐닝한 결과로, 취약점 내용이 완전히 다르다. 따라서 다른 결과를 산출하는 스캐너들을 지속적으로 점검할 필요가 있다.

그럼, 어떤 것을 사용하면 좋을까? 상황에 따라 판단해서 사용하면 좋은데, 가장 좋은 선택은 둘 모두 사용하는 것이다. 둘 모두 많은 면에서 기능이 동일한데, 특정 영역에서는 자신만의 강점이 있다. 보안 커뮤니티에서는 Burp 프록시 프로를 더 많이 학습하는 편으로, 커스텀 스캔 도구를 생성할 수 있는 Burp Extender(http://portswigger.net/burp/extender/)를 지원하기 때문이다.

특정 파라미터를 퍼징하기 전에 다단계 프로세스가 필요하고, 쿠키를 처리하는 애플리케이션에서는 Burp를 사용하는 것이 좋다. 이것과 관련된 자세한 내용은 http://blog.opensecurityresearch.com/2014/03/extending-burp.html을 참고한다.

▲ 그림 2-49 OWASP ZAP 대 Burp