وكيل OWASP Zed Attack

El وكيل Zed Attack (ZAP) هي أداة مجانية مكتوبة Java‏ قادم من مشروع أواسب لإجراء ، في المقام الأول ، اختبارات الاختراق في تطبيقات الويب ، على الرغم من أنه يمكن أيضًا للمطورين استخدامها في عملهم اليومي. اعتبارًا من اليوم هو في نسخته 2.1.0 ويحتاج جافا 7 للتشغيل ، على الرغم من أنني أستخدمه في دبيان جنو / لينكس منخفض OpenJDK 7. بالنسبة لأولئك منا الذين بدأوا في عالم أمان تطبيقات الويب ، فهو أداة ممتازة لصقل مهاراتنا.

بعض الميزات (على سبيل المثال المسح النشط) ل وكيل ZAP لا ينبغي استخدامها ضد المواقع التي ليست لنا أو التي ليس لدينا إذن مسبق للقيام بذلك ، حيث يمكن اعتبارها أنشطة غير قانونية

من بين العديد من الميزات ZAPسأعلق على ما يلي:

  • وكيل الاعتراض: مثالي لمن هم مبتدئون منا في مجال الأمان هذا ، وتم تكوينه بالطريقة الصحيحة ، فهو يسمح برؤية كل حركة المرور بين المتصفح وخادم الويب في الوقت الحالي ، ويظهر بطريقة بسيطة رؤوس رسائل HTTP ونصها بغض النظر عن الطريقة المستخدمة (HEAD ، GET ، POST ، إلخ). بالإضافة إلى ذلك نستطيع تعديل حركة مرور HTTP حسب الرغبة في كلا اتجاهي الاتصال (بين خادم الويب والمتصفح).
  • العنكبوت: إنها ميزة تساعد على اكتشاف عناوين URL الجديدة على الموقع الذي تم تدقيقه. إحدى الطرق للقيام بذلك هي تحليل كود HTML للصفحة لاكتشاف العلامات. واتباع سماتهم href.
  • التصفح الإجباري: يحاول اكتشاف الملفات والأدلة غير المفهرسة على الموقع مثل صفحات تسجيل الدخول. لتحقيق ذلك ، فإنه يحتوي افتراضيًا على سلسلة من القواميس التي سيستخدمها لتقديم طلبات إلى الخادم المنتظر رمز الحالة استجابة 200.
  • المسح النشط: يقوم تلقائيًا بإنشاء هجمات ويب مختلفة ضد الموقع مثل CSRF و XSS و SQL Injection وغيرها.
  • واشياء أخرى عديدة: في الواقع هناك العديد من الميزات الأخرى مثل: دعم مآخذ الويب من الإصدار 2.0.0 و AJAX Spider و Fuzzer وعدد قليل من الميزات الأخرى.

التكوين مع Firefox

يمكننا تكوين المقبس الذي سيستمع ZAP من خلاله إذا أردنا ذلك أدوات -> خيارات -> وكيل محلي. في حالتي ، أستمع على المنفذ 8018:

تكوين "الوكيل المحلي"

التكوين «الوكيل المحلي»

ثم نفتح تفضيلات Firefox وسنفعل خيارات متقدمة -> الشبكة -> التكوين -> التكوين اليدوي للخادم الوكيل. نشير إلى المقبس الذي قمنا بتكوينه مسبقًا في ZAP:

تكوين الوكيل في Firefox

تكوين الوكيل في Firefox

إذا سارت الأمور على ما يرام ، فسنرسل كل حركة مرور HTTP إلى ZAP وسيهتم هذا بإعادة توجيهها كما يفعل أي وكيل. كمثال ، أدخلت هذه المدونة من المتصفح ودعنا نرى ما يحدث في ZAP:

نظرة عامة على ZAP

نظرة عامة على ZAP

يمكننا أن نرى أنه تم إنشاء أكثر من 100 رسالة HTTP (معظمها يستخدم طريقة GET) لتحميل الصفحة بالكامل. كما نرى في علامة التبويب المواقع لم يتم إنشاء حركة مرور لهذه المدونة فحسب ، بل إلى صفحات أخرى أيضًا. واحد منهم هو الفيسبوك ويتم إنشاؤه بواسطة المكون الإضافي الاجتماعي في أسفل الصفحة «تابعنا على Facebook ". فعلت أيضا تحليلات جوجل Google Analytics مما يشير إلى وجود الأداة المذكورة لتحليل وتصور إحصاءات هذه المدونة من قبل مسؤولي الموقع.

يمكننا أيضًا أن نلاحظ بالتفصيل كل من رسائل HTTP المتبادلة ، دعنا نرى الاستجابة التي تم إنشاؤها بواسطة خادم الويب لهذه المدونة عندما أدخلت العنوان http://desdelinux.net اختيار طلب HTTP GET الخاص به:

تفاصيل رسالة HTTP

تفاصيل رسالة HTTP

نلاحظ أن أ رمز الحالة 301 ، مما يشير إلى إعادة التوجيه الموجهة نحو https://blog.desdelinux.net/.

ZAP يصبح بديلاً ممتازًا ومجانيًا تمامًا لـ جناح التجشؤ بالنسبة لأولئك منا الذين بدأوا في هذا العالم المثير لأمان الويب ، سنقضي بالتأكيد ساعات وساعات أمام هذه الأداة لتعلم تقنيات مختلفة لاختراق الويب ، أحمل القليل. ️


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

5 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   نانو قال

    هذا شيء يجب علي فعله ، في الغالب لإثبات ما أفعله.

    انها مثيرة للاهتمام للغاية

  2.   إليوتيمي 3000 قال

    تبدو هذه الأداة أكثر اكتمالا من Microsoft Network Monitor. المساهمة موضع تقدير.

  3.   سجاد قال

    ممتاز شكرا جزيلا للمعلومات و الشرح
    تحية.

  4.   تشافي قال

    IMHO ، أعتقد أنه يجب ترك هذه الأدوات للنطاقات الأمنية ، وليس نشرها على مدونة لينكس. هناك أشخاص يمكنهم استخدامه بطريقة غير مسؤولة أو بغير وعي.

    1.    pablox قال

      ستكون الأدوات دائمًا أدوات ذات حدين ، حيث يستخدمها الخير والشر ، وللأسف لا يمكن تجنب ذلك. OWASP ZAP هي أداة معترف بها من قبل مجتمع EH في مجال أمان الويب وتستخدم في عمليات تدقيق الويب. تذكر ، "مع القوة العظمى تأتي مسؤولية كبيرة."

      لقد قمت بنشر هذا المنشور لأنني أدرس العصاميين لتقديم خدمات عالية الدقة في المستقبل وأعتقد أنها ستكون ذات فائدة للقراء الآخرين. ليست النهاية أنهم يستخدمونها بشكل غير قانوني ، ناهيك عن التحذير في بداية المنشور.

      تحيات!

      PD1 ->: هذا مريب: تم ​​اكتشاف ترول؟ لدي شك….
      PD2 -> Jhahaha من فضلك لا تحول هذا إلى حرب اللهب من هنا إلى أسفل كما في المنشورات الأخرى.