El Zed Attack Proxy (ZAP) er et gratis værktøj skrevet i Java kommer fra OWASP-projekt i første omgang at gennemføre penetrationstest i webapplikationer, skønt det også kan bruges af udviklere i deres daglige arbejde. Fra i dag er det i sin version 2.1.0 og behov Java 7 at køre, selvom jeg bruger det i Debian GNU / Linux Bajo OpenJDK 7. For dem af os, der starter i en verden af webapplikationssikkerhed, er det et fremragende værktøj til at polere vores færdigheder.
Blandt de mange funktioner i ZAP, Vil jeg kommentere følgende:
- Aflytnings-proxy: Ideel til dem af os, der er nybegyndere inden for dette sikkerhedsfelt, konfigureret på den rigtige måde, det giver mulighed for at se al trafik mellem browseren og webserveren i øjeblikket og viser på en enkel måde overskrifter og krop i HTTP-meddelelser uanset anvendt metode (HEAD, GET, POST osv.). Derudover kan vi ændre HTTP-trafikken efter ønske i begge retninger af kommunikation (mellem webserveren og browseren).
- Edderkop: Det er en funktion, der hjælper med at finde nye URL'er på det reviderede websted. En af måderne det gøres på er ved at analysere sidens HTML-kode for at finde tags. og følg deres egenskaber href.
- Tvungen søgning: Det forsøger at finde mapper og filer, der ikke er indekseret på webstedet, såsom login-sider. For at opnå dette har den som standard en række ordbøger, som den vil bruge til at stille anmodninger til den ventende server statuskode svar 200.
- Aktiv scanning: Genererer automatisk forskellige webangreb mod webstedet såsom CSRF, XSS, SQL Injection blandt andre.
- Og mange andre: Der er faktisk mange andre funktioner såsom: Understøttelse af webstik fra version 2.0.0, AJAX Spider, Fuzzer og et par andre.
Konfiguration med Firefox
Vi kan konfigurere stikkontakten, gennem hvilken ZAP lytter, hvis vi skal Værktøjer -> Indstillinger -> Lokal proxy. I mit tilfælde har jeg det at lytte på port 8018:
Så åbner vi Firefox-præferencer, og det gør vi Avanceret -> Netværk -> Konfiguration -> Manuel proxy-konfiguration. Vi angiver stikkontakten, som vi tidligere har konfigureret i ZAP:
Hvis alt er gået godt, sender vi al vores HTTP-trafik til ZAP, og det har ansvaret for at omdirigere det som enhver proxy ville. Som et eksempel går jeg ind i denne blog fra browseren og ser hvad der sker i ZAP:
Vi kan se, at der er genereret mere end 100 HTTP-meddelelser (mest ved hjælp af GET-metoden) for at indlæse siden fuldt ud. Som vi ser på fanen Websteder Ikke kun er der genereret trafik til denne blog, men også til andre sider. En af dem er Facebook, og den genereres af det sociale plugin nederst på siden «Følg os på Facebook ". Også gjorde Google Analytics hvilket angiver tilstedeværelsen af det nævnte værktøj til analyse og visualisering af statistikker på denne blog af administratorer af webstedet.
Vi kan også i detaljer observere hver af de udvekslede HTTP-meddelelser, lad os se svaret, der blev genereret af webserveren på denne blog, da jeg indtastede adressen http://desdelinux.net vælge sin respektive HTTP GET-anmodning:
Vi bemærker, at en statuskode 301, som angiver en omdirigering, der er rettet mod https://blog.desdelinux.net/.
ZAP bliver et glimrende helt gratis alternativ til Burp Suite For dem af os, der starter i denne spændende verden af websikkerhed, vil vi helt sikkert bruge timer og timer i spidsen for dette værktøj til at lære forskellige webhacking-teknikker, Jeg bærer et par stykker. 😛
Det er noget, jeg skal gøre, mest for at bevise, hvad jeg gør.
Det er ret interessant
Dette værktøj ser meget mere komplet ud end Microsoft Network Monitor. Bidraget værdsættes.
Fremragende, meget tak for informationen og forklaringen.
Greetings.
IMHO, jeg synes, at disse værktøjer skal efterlades til sikkerhedsomfang og ikke offentliggøre det på en linux-blog. Der er mennesker, der kan bruge det uansvarligt eller ubevidst.
Værktøjerne vil altid være tokantede værktøjer, da de bruges af gode og dårlige, desværre kan det ikke undgås. OWASP ZAP er et værktøj, der er anerkendt af EH-samfundet inden for websikkerhed og bruges til webrevision. Husk, "Med stor kraft kommer et stort ansvar."
Jeg offentliggjorde dette indlæg, fordi jeg studerer selvlært for at tilbyde HD-tjenester i fremtiden, og jeg troede, det ville være af interesse for andre læsere. Slutningen er ikke, at de bruger det ulovligt, langt mindre, derfor advarslen i begyndelsen af indlægget.
Hilsner!
PD1 ->: det er mistænkeligt: Troll opdaget? Jeg er i tvivl ...
PD2 -> Jhahaha Lad dette ikke blive en flammekrig herfra og ned som i andre stillinger.