OWASP Zed napadački proxy

El Zed napadački proxy (ZAP) je besplatan alat napisan na jeziku Java dolazi iz OWASP projekat provesti, u prvom redu, testove penetracije u web aplikacijama, iako ga programeri također mogu koristiti u svakodnevnom radu. Od danas je u svojoj verziji 2.1.0 i treba Java 7 za trčanje, iako ga koristim u Debian GNU / Linux nisko OpenJDK 7. Za one od nas koji počinjemo sa svijetom sigurnosti web aplikacija, to je izvrstan alat za poliranje naših vještina.

Neke funkcije (na primjer Aktivno skeniranje) od ZAP proxy Ne smiju se koristiti protiv web lokacija koje nisu naše ili za koje nemamo prethodno odobrenje, jer bi se mogle smatrati ilegalnim aktivnostima

Među mnogim karakteristikama ZAP, Komentirat ću sljedeće:

  • Proxy za presretanje: Idealno za one koji smo početnici u ovom polju sigurnosti, konfigurirani na ispravan način, omogućava vam sav promet između pregledača i web servera trenutka, prikazujući na jednostavan način zaglavlja i tijelo HTTP-a poruke bez obzira na metodu koja se koristi (HEAD, GET, POST, itd.). Uz to možemo modificirajte HTTP promet po volji u oba smjera komunikacije (između web servera i pretraživača).
  • Pauk: To je značajka koja pomaže u otkrivanju novih URL-ova na revidiranoj web lokaciji. Jedan od načina na koji to čini je raščlanjivanje HTML koda stranice radi otkrivanja oznaka. i slijedite njihove atribute href.
  • Prisilno pregledavanje: Pokušava otkriti neindeksirane datoteke i direktorije na web lokaciji, kao što su stranice za prijavu. Da bi to postigao, po defaultu ima niz rječnika koje će koristiti za upućivanje zahtjeva poslužitelju na čekanju statusni kod odgovor 200.
  • Aktivno skeniranje: Automatski generira različite web napade na web lokaciju, kao što su CSRF, XSS, SQL Injection, između ostalog.
  • I mnogi drugi: Zapravo postoje mnoge druge funkcije kao što su: Podrška za web utičnice od verzije 2.0.0, AJAX Spider, Fuzzer i nekoliko drugih.

Konfiguracija sa Firefoxom

Možemo konfigurirati utičnicu kroz koju će ZAP slušati ako to želimo Alati -> Opcije -> Lokalni proxy. U mom slučaju ga slušam na portu 8018:

Konfiguracija "lokalnog proxyja"

Konfiguracija «Lokalni proxy»

Zatim otvorimo Firefox preferencije i hoćemo Napredno -> Mreža -> Konfiguracija -> Ručna konfiguracija proxyja. Označavamo utičnicu koju smo prethodno konfigurirali u ZAP-u:

Konfigurirajte proxy u Firefoxu

Konfigurirajte proxy u Firefoxu

Ako je sve prošlo u redu, poslat ćemo sav svoj HTTP promet u ZAP i on će ga preusmjeriti kao i svaki proxy. Kao primjer, ulazim u ovaj blog iz preglednika i vidim što se događa u ZAP-u:

ZAP pregled

ZAP pregled

Vidimo da je generirano više od 100 HTTP poruka (većina koja koristi GET metodu) za potpuno učitavanje stranice. Kao što vidimo na kartici Sites Ne samo da je ostvaren promet na ovom blogu, već i na drugim stranicama. Jedan od njih je Facebook, a generira ga dodatak za društvene mreže na dnu stranice «Pratite nas na Facebook-u ". Također je Google Analytics što ukazuje na prisustvo navedenog alata za analizu i vizualizaciju statistike ovog bloga od strane administratora stranice.

Takođe možemo detaljno promatrati svaku razmijenjenu HTTP poruku, pogledajmo odgovor koji je generirao web server ovog bloga kada sam unijeo adresu http://desdelinux.net odabirom odgovarajućeg HTTP GET zahtjeva:

Detalj HTTP poruke

Detalj HTTP poruke

Primjećujemo da a statusni kod 301, što ukazuje na preusmjeravanje koje je usmjereno prema https://blog.desdelinux.net/.

ZAP postaje izvrsna potpuno besplatna alternativa za Burp Suite Za one od nas koji počinjemo s ovim uzbudljivim svijetom web sigurnosti, sigurno ćemo provesti sate i sate ispred ovog alata učeći različite tehnike hakiranja na mreži, Nosim ih nekoliko. 😛


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

5 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   nano rekao je

    To je nešto što moram učiniti, uglavnom da bih dokazao ono što radim.

    Prilično je zanimljivo

  2.   eliotime3000 rekao je

    Ovaj alat izgleda mnogo cjelovitije od Microsoft Network Monitor-a. Zahvaljujemo na doprinosu.

  3.   stolar rekao je

    Odlično, hvala vam puno na informacijama i objašnjenjima.
    Pozdrav.

  4.   xavip rekao je

    IMHO, mislim da bi ove alate trebalo ostaviti za sigurnosne ciljeve, a ne objavljivati ​​ih na linux blogu. Postoje ljudi koji to mogu koristiti neodgovorno ili nesvjesno.

    1.    pablox rekao je

      Alati će uvijek biti alati s dvije oštrice, jer ih koriste i dobri i zli, nažalost to se ne može izbjeći. OWASP ZAP je alat koji je EH zajednica prepoznala na polju web sigurnosti i koristi se za web revizije. Zapamtite: "S velikom moći dolazi i velika odgovornost."

      Objavio sam ovaj post jer proučavam samouke da u budućnosti nudim HD usluge i mislio sam da će to biti zanimljivo ostalim čitateljima. Kraj nije da je koriste nezakonito, a još manje, otuda i upozorenje na početku posta.

      Pozdrav!

      PD1 ->: that'ssuspicious: Otkriven trol? Sumnjam ...
      PD2 -> Jhahaha Molim vas, ne dopustite da ovo postane plameni rat odavde dolje kao u drugim objavama.