OWASP Zed napadački proxy

El Zed napadački proxy (ZAP) je besplatan alat napisan na jeziku Java dolazi iz OWASP projekat provesti, u prvom redu, testove penetracije u web aplikacijama, iako ga programeri također mogu koristiti u svakodnevnom radu. Od danas je u svojoj verziji 2.1.0 i treba Java 7 za trčanje, iako ga koristim u Debian GNU / Linux nisko OpenJDK 7. Za one od nas koji počinjemo sa svijetom sigurnosti web aplikacija, to je izvrstan alat za poliranje naših vještina.

Među mnogim karakteristikama ZAP, Komentirat ću sljedeće:

• Proxy za presretanje: Idealno za one koji smo početnici u ovom polju sigurnosti, konfigurirani na ispravan način, omogućava vam sav promet između pregledača i web servera trenutka, prikazujući na jednostavan način zaglavlja i tijelo HTTP-a poruke bez obzira na metodu koja se koristi (HEAD, GET, POST, itd.). Uz to možemo modificirajte HTTP promet po volji u oba smjera komunikacije (između web servera i pretraživača).
• Pauk: To je značajka koja pomaže u otkrivanju novih URL-ova na revidiranoj web lokaciji. Jedan od načina na koji to čini je raščlanjivanje HTML koda stranice radi otkrivanja oznaka. i slijedite njihove atribute href.
• Prisilno pregledavanje: Pokušava otkriti neindeksirane datoteke i direktorije na web lokaciji, kao što su stranice za prijavu. Da bi to postigao, po defaultu ima niz rječnika koje će koristiti za upućivanje zahtjeva poslužitelju na čekanju statusni kod odgovor 200.
• Aktivno skeniranje: Automatski generira različite web napade na web lokaciju, kao što su CSRF, XSS, SQL Injection, između ostalog.
• I mnogi drugi: Zapravo postoje mnoge druge funkcije kao što su: Podrška za web utičnice od verzije 2.0.0, AJAX Spider, Fuzzer i nekoliko drugih.

Konfiguracija sa Firefoxom

Možemo konfigurirati utičnicu kroz koju će ZAP slušati ako to želimo Alati -> Opcije -> Lokalni proxy. U mom slučaju ga slušam na portu 8018:

Konfiguracija «Lokalni proxy»

Zatim otvorimo Firefox preferencije i hoćemo Napredno -> Mreža -> Konfiguracija -> Ručna konfiguracija proxyja. Označavamo utičnicu koju smo prethodno konfigurirali u ZAP-u:

Konfigurirajte proxy u Firefoxu

Ako je sve prošlo u redu, poslat ćemo sav svoj HTTP promet u ZAP i on će ga preusmjeriti kao i svaki proxy. Kao primjer, ulazim u ovaj blog iz preglednika i vidim što se događa u ZAP-u:

ZAP pregled

Vidimo da je generirano više od 100 HTTP poruka (većina koja koristi GET metodu) za potpuno učitavanje stranice. Kao što vidimo na kartici Stranice Ne samo da je ostvaren promet na ovom blogu, već i na drugim stranicama. Jedan od njih je Facebook, a generira ga dodatak za društvene mreže na dnu stranice «Pratite nas na Facebook-u ". Također je Google Analytics što ukazuje na prisustvo navedenog alata za analizu i vizualizaciju statistike ovog bloga od strane administratora stranice.

Takođe možemo detaljno promatrati svaku razmijenjenu HTTP poruku, pogledajmo odgovor koji je generirao web server ovog bloga kada sam unijeo adresu http://desdelinux.net odabirom odgovarajućeg HTTP GET zahtjeva:

Detalj HTTP poruke

Primjećujemo da a statusni kod 301, što ukazuje na preusmjeravanje koje je usmjereno prema https://blog.desdelinux.net/.

ZAP postaje izvrsna potpuno besplatna alternativa za Burp Suite Za one od nas koji počinjemo s ovim uzbudljivim svijetom web sigurnosti, sigurno ćemo provesti sate i sate ispred ovog alata učeći različite tehnike hakiranja na mreži, Nosim ih nekoliko. 😛