OWASP Zed-Angriffsproxy

El Zed-Angriffsproxy (ZAP) ist ein kostenloses Tool geschrieben in Javac kommen von OWASP-Projekt in erster Linie Penetrationstests in Webanwendungen durchzuführen, obwohl diese auch von Entwicklern in ihrer täglichen Arbeit verwendet werden können. Ab heute ist es in der Version 2.1.0 und benötigt Java 7 zu laufen, obwohl ich es in benutze Debian GNU / Linux bajo OpenJDK 7. Für diejenigen von uns, die in der Welt der Sicherheit von Webanwendungen anfangen, ist es ein hervorragendes Werkzeug, um unsere Fähigkeiten zu verbessern.

Unter den vielen Funktionen von ZAPIch werde Folgendes kommentieren:

• Interception-Proxy: Ideal für diejenigen von uns, die Neulinge in diesem Sicherheitsbereich sind und richtig konfiguriert sind. Es ermöglicht es, den gesamten Datenverkehr zwischen dem Browser und dem Webserver des Augenblicks zu sehen und auf einfache Weise die Header und den Hauptteil des HTTP anzuzeigen Nachrichten unabhängig von der verwendeten Methode (HEAD, GET, POST usw.). Außerdem können wir Ändern Sie den HTTP-Verkehr nach Belieben in beide Kommunikationsrichtungen (zwischen dem Webserver und dem Browser).
• Spinne: Diese Funktion hilft beim Erkennen neuer URLs auf der geprüften Site. Dies geschieht unter anderem durch Parsen des HTML-Codes der Seite, um Tags zu erkennen. und folgen Sie ihren Attributen href.
• Erzwungenes Surfen: Es wird versucht, Verzeichnisse und Dateien zu ermitteln, die nicht auf der Site indiziert sind, z. B. Anmeldeseiten. Um dies zu erreichen, verfügt es standardmäßig über eine Reihe von Wörterbüchern, mit denen Anforderungen an den wartenden Server gesendet werden Statuscode Antwort 200.
• Aktiver Scan: Generiert automatisch verschiedene Webangriffe gegen die Site, z. B. CSRF, XSS, SQL Injection.
• Und viele andere: Tatsächlich gibt es viele andere Funktionen wie: Unterstützung für Web-Sockets ab Version 2.0.0, AJAX Spider, Fuzzer und viele andere.

Konfiguration mit Firefox

Wir können den Socket konfigurieren, über den ZAP lauscht, wenn wir gehen Extras -> Optionen -> Lokaler Proxy. In meinem Fall lauscht es an Port 8018:

Konfiguration «Lokaler Proxy»

Dann öffnen wir die Firefox-Einstellungen und werden es tun Erweitert -> Netzwerk -> Konfiguration -> Manuelle Proxy-Konfiguration. Wir geben den Socket an, den wir zuvor in ZAP konfiguriert haben:

Konfigurieren Sie den Proxy in Firefox

Wenn alles gut gegangen ist, senden wir unseren gesamten HTTP-Verkehr an ZAP und er wird dafür verantwortlich sein, ihn wie jeden Proxy umzuleiten. Als Beispiel gebe ich diesen Blog über den Browser ein und sehe, was in ZAP passiert:

ZAP-Übersicht

Wir können sehen, dass mehr als 100 HTTP-Nachrichten generiert wurden (die meisten verwenden die GET-Methode), um die Seite vollständig zu laden. Wie wir in der Registerkarte sehen Seiten Es wurde nicht nur Verkehr zu diesem Blog generiert, sondern auch zu anderen Seiten. Eines davon ist Facebook und wird vom Social Plugin am Ende der Seite generiert. «Folge uns auf Facebook". Auch tat Google Analytics Dies zeigt das Vorhandensein dieses Tools für die Analyse und Visualisierung der Statistiken dieses Blogs durch die Administratoren der Website an.

Wir können auch jede der ausgetauschten HTTP-Nachrichten im Detail beobachten. Sehen wir uns die Antwort an, die vom Webserver dieses Blogs generiert wurde, als ich die Adresse eingegeben habe http://desdelinux.net Auswahl der jeweiligen HTTP-GET-Anforderung:

HTTP-Nachrichtendetail

Wir stellen fest, dass a Statuscode 301, was eine Weiterleitung anzeigt, die auf gerichtet ist https://blog.desdelinux.net/.

ZAP wird eine ausgezeichnete völlig kostenlose Alternative zu Burp-Suite Für diejenigen von uns, die in dieser aufregenden Welt der Web-Sicherheit anfangen, werden wir sicherlich Stunden und Stunden an der Spitze dieses Tools verbringen, um verschiedene Web-Hacking-Techniken zu erlernen. Ich trage ein paar. 😛.