Proxy OWASP Zed Attack

El ZED ATTACK PROXY (ZAP) je bezplatný nástroj napsaný v Jáva přicházející z Projekt OWASP provádět v první řadě penetrační testy ve webových aplikacích, i když ji mohou vývojáři použít i při své každodenní práci. Ode dneška je ve verzi 2.1.0 a potřebuje Java 7 spustit, i když to používám v Debian GNU / Linux Bajo OpenJDK 7. Pro ty z nás, kteří začínají ve světě zabezpečení webových aplikací, je to vynikající nástroj k vyleštění našich dovedností.

Mezi mnoha funkcemi ZAP, Budu komentovat následující:

• Odposlech proxy: Ideální pro ty z nás, kteří jsou nováčkem v této oblasti zabezpečení a jsou nakonfigurováni správným způsobem. Umožňuje zobrazit veškerý provoz mezi aktuálním prohlížečem a webovým serverem a jednoduchým způsobem zobrazit záhlaví a tělo zpráv HTTP bez ohledu na použitá metoda (HEAD, GET, POST atd.). Kromě toho můžeme libovolně upravit přenos HTTP v obou směrech komunikace (mezi webovým serverem a prohlížečem).
• Pavouk: Jedná se o funkci, která pomáhá objevovat nové adresy URL na auditovaném webu. Jedním ze způsobů, jak to dělá, je analýza kódu HTML stránky, aby se zjistily značky. a sledovat jejich atributy href.
• Nucené procházení: Pokouší se najít neindexované soubory a adresáře na webu, například přihlašovací stránky. K dosažení tohoto cíle má ve výchozím nastavení řadu slovníků, které použije k zadávání požadavků na čekající server stavový kód odpověď 200.
• Aktivní skenování: Automaticky generuje různé webové útoky proti webu, například CSRF, XSS, SQL Injection.
• A mnoho dalších: Ve skutečnosti existuje mnoho dalších funkcí, například: Podpora webových soketů od verze 2.0.0, AJAX Spider, Fuzzer a několik dalších.

Konfigurace s Firefoxem

Můžeme nakonfigurovat soket, přes který bude ZAP poslouchat, pokud se chystáme Nástroje -> Možnosti -> Místní server proxy. V mém případě to poslouchám na portu 8018:

Konfigurace «Místní proxy»

Poté otevřeme předvolby Firefoxu a uděláme to Pokročilé -> Síť -> Konfigurace -> Ruční konfigurace serveru proxy. Označujeme soket, který jsme dříve nakonfigurovali v ZAP:

Nakonfigurujte proxy ve Firefoxu

Pokud vše proběhlo dobře, pošleme veškerý náš přenos HTTP do ZAP a bude mít na starosti přesměrování, jako by to udělal jakýkoli proxy. Jako příklad zadám tento blog z prohlížeče a uvidím, co se stane v ZAP:

Přehled ZAP

Vidíme, že pro úplné načtení stránky bylo vygenerováno více než 100 zpráv HTTP (většina využívajících metodu GET). Jak vidíme na kartě Stránky Byl generován nejen provoz na tomto blogu, ale také na dalších stránkách. Jedním z nich je Facebook a je generován sociálním pluginem v dolní části stránky «Sledujte nás na Facebooku". Také ano Google Analytics což naznačuje přítomnost uvedeného nástroje pro analýzu a vizualizaci statistik tohoto blogu správci webu.

Můžeme také podrobně sledovat každou vyměněnou zprávu HTTP, podívejme se na odpověď, která byla vygenerována webovým serverem tohoto blogu, když jsem zadal adresu http://desdelinux.net výběr příslušného požadavku HTTP GET:

Podrobnosti zprávy HTTP

Bereme na vědomí, že a stavový kód 301, což označuje přesměrování, které je směřováno k https://blog.desdelinux.net/.

ZAP se stává vynikající zcela bezplatnou alternativou k Burp Suite Pro ty z nás, kteří začínají v tomto vzrušujícím světě zabezpečení webu, určitě strávíme hodiny a hodiny před tímto nástrojem učením různých technik hackování webu, Nesu pár... 😛