El وكيل Zed Attack (ZAP) هي أداة مجانية مكتوبة جافا قادم من مشروع أواسب لإجراء ، في المقام الأول ، اختبارات الاختراق في تطبيقات الويب ، على الرغم من أنه يمكن أيضًا للمطورين استخدامها في عملهم اليومي. اعتبارًا من اليوم هو في نسخته 2.1.0 ويحتاج جافا 7 للتشغيل ، على الرغم من أنني أستخدمه في دبيان جنو / لينكس منخفض OpenJDK 7. بالنسبة لأولئك منا الذين بدأوا في عالم أمان تطبيقات الويب ، فهو أداة ممتازة لصقل مهاراتنا.
من بين العديد من الميزات ZAPسأعلق على ما يلي:
- وكيل الاعتراض: مثالي لمن هم مبتدئون منا في مجال الأمان هذا ، وتم تكوينه بالطريقة الصحيحة ، فهو يسمح برؤية كل حركة المرور بين المتصفح وخادم الويب في الوقت الحالي ، ويظهر بطريقة بسيطة رؤوس رسائل HTTP ونصها بغض النظر عن الطريقة المستخدمة (HEAD ، GET ، POST ، إلخ). بالإضافة إلى ذلك نستطيع تعديل حركة مرور HTTP حسب الرغبة في كلا اتجاهي الاتصال (بين خادم الويب والمتصفح).
- العنكبوت: إنها ميزة تساعد على اكتشاف عناوين URL الجديدة على الموقع الذي تم تدقيقه. إحدى الطرق للقيام بذلك هي تحليل كود HTML للصفحة لاكتشاف العلامات. واتباع سماتهم href.
- التصفح الإجباري: يحاول اكتشاف الملفات والأدلة غير المفهرسة على الموقع مثل صفحات تسجيل الدخول. لتحقيق ذلك ، فإنه يحتوي افتراضيًا على سلسلة من القواميس التي سيستخدمها لتقديم طلبات إلى الخادم المنتظر رمز الحالة استجابة 200.
- المسح النشط: يقوم تلقائيًا بإنشاء هجمات ويب مختلفة ضد الموقع مثل CSRF و XSS و SQL Injection وغيرها.
- واشياء أخرى عديدة: في الواقع هناك العديد من الميزات الأخرى مثل: دعم مآخذ الويب من الإصدار 2.0.0 و AJAX Spider و Fuzzer وعدد قليل من الميزات الأخرى.
التكوين مع Firefox
يمكننا تكوين المقبس الذي سيستمع ZAP من خلاله إذا أردنا ذلك أدوات -> خيارات -> وكيل محلي. في حالتي ، أستمع على المنفذ 8018:
ثم نفتح تفضيلات Firefox وسنفعل خيارات متقدمة -> الشبكة -> التكوين -> التكوين اليدوي للخادم الوكيل. نشير إلى المقبس الذي قمنا بتكوينه مسبقًا في ZAP:
إذا سارت الأمور على ما يرام ، فسنرسل كل حركة مرور HTTP إلى ZAP وسيهتم هذا بإعادة توجيهها كما يفعل أي وكيل. كمثال ، أدخلت هذه المدونة من المتصفح ودعنا نرى ما يحدث في ZAP:
يمكننا أن نرى أنه تم إنشاء أكثر من 100 رسالة HTTP (معظمها يستخدم طريقة GET) لتحميل الصفحة بالكامل. كما نرى في علامة التبويب المواقع لم يتم إنشاء حركة مرور لهذه المدونة فحسب ، بل إلى صفحات أخرى أيضًا. واحد منهم هو الفيسبوك ويتم إنشاؤه بواسطة المكون الإضافي الاجتماعي في أسفل الصفحة «تابعنا على Facebook ". فعلت أيضا Google Analytics مما يشير إلى وجود الأداة المذكورة لتحليل وتصور إحصاءات هذه المدونة من قبل مسؤولي الموقع.
يمكننا أيضًا أن نلاحظ بالتفصيل كل من رسائل HTTP المتبادلة ، دعنا نرى الاستجابة التي تم إنشاؤها بواسطة خادم الويب لهذه المدونة عندما أدخلت العنوان http://desdelinux.net اختيار طلب HTTP GET الخاص به:
نلاحظ أن أ رمز الحالة 301 ، مما يشير إلى إعادة التوجيه الموجهة نحو https://blog.desdelinux.net/.
ZAP يصبح بديلاً ممتازًا ومجانيًا تمامًا لـ جناح التجشؤ بالنسبة لأولئك منا الذين بدأوا في هذا العالم المثير لأمان الويب ، سنقضي بالتأكيد ساعات وساعات أمام هذه الأداة لتعلم تقنيات مختلفة لاختراق الويب ، أحمل القليل. ️
هذا شيء يجب علي فعله ، في الغالب لإثبات ما أفعله.
انها مثيرة للاهتمام للغاية
تبدو هذه الأداة أكثر اكتمالا من Microsoft Network Monitor. المساهمة موضع تقدير.
ممتاز شكرا جزيلا للمعلومات و الشرح
تحية.
IMHO ، أعتقد أنه يجب ترك هذه الأدوات للنطاقات الأمنية ، وليس نشرها على مدونة لينكس. هناك أشخاص يمكنهم استخدامه بطريقة غير مسؤولة أو بغير وعي.
ستكون الأدوات دائمًا أدوات ذات حدين ، حيث يستخدمها الخير والشر ، وللأسف لا يمكن تجنب ذلك. OWASP ZAP هي أداة معترف بها من قبل مجتمع EH في مجال أمان الويب وتستخدم في عمليات تدقيق الويب. تذكر ، "مع القوة العظمى تأتي مسؤولية كبيرة."
لقد قمت بنشر هذا المنشور لأنني أدرس العصاميين لتقديم خدمات عالية الدقة في المستقبل وأعتقد أنها ستكون ذات فائدة للقراء الآخرين. ليست النهاية أنهم يستخدمونها بشكل غير قانوني ، ناهيك عن التحذير في بداية المنشور.
تحيات!
PD1 ->: هذا مريب: تم اكتشاف ترول؟ لدي شك….
PD2 -> Jhahaha من فضلك لا تحول هذا إلى حرب اللهب من هنا إلى أسفل كما في المنشورات الأخرى.