El Proxy Proxy Zed (ZAP) είναι ένα δωρεάν εργαλείο γραμμένο σε Java που προέρχονται από Έργο OWASP για να πραγματοποιήσει, σε πρώτη φάση, δοκιμές διείσδυσης σε εφαρμογές ιστού, αν και μπορεί επίσης να χρησιμοποιηθεί από προγραμματιστές στην καθημερινή τους εργασία. Από σήμερα είναι στην έκδοση 2.1.0 και χρειάζεται Java 7 για να τρέξω, αν και το χρησιμοποιώ Debian GNU / Linux Bajo OpenJDK 7. Για όσους από εμάς ξεκινούν στον κόσμο της ασφάλειας εφαρμογών ιστού, είναι ένα εξαιρετικό εργαλείο για να γυαλίσουμε τις δεξιότητές μας.
Μεταξύ των πολλών χαρακτηριστικών του ZAP, Θα σχολιάσω τα εξής:
- Αντιπρόσωπος παρακολούθησης: Ιδανικό για όσους από εμάς είμαστε αρχάριοι σε αυτόν τον τομέα ασφάλειας, διαμορφωμένοι με τον σωστό τρόπο, επιτρέπει την προβολή όλης της κίνησης μεταξύ του προγράμματος περιήγησης και του διακομιστή ιστού αυτήν τη στιγμή, δείχνοντας με απλό τρόπο τις κεφαλίδες και το σώμα του HTTP μηνύματα ανεξάρτητα από τη μέθοδο που χρησιμοποιείται (HEAD, GET, POST κ.λπ.). Επιπλέον μπορούμε τροποποιήστε την κίνηση HTTP κατά βούληση και στις δύο κατευθύνσεις επικοινωνίας (μεταξύ του διακομιστή Ιστού και του προγράμματος περιήγησης).
- Αράχνη: Είναι μια δυνατότητα που βοηθά να ανακαλύψετε νέες διευθύνσεις URL στον ελεγμένο ιστότοπο. Ένας από τους τρόπους που κάνει αυτό είναι η ανάλυση του κώδικα HTML της σελίδας για την ανακάλυψη ετικετών. και ακολουθήστε τα χαρακτηριστικά τους href.
- Αναγκαστική περιήγηση: Προσπαθεί να ανακαλύψει καταλόγους και αρχεία που δεν ευρετηριάζονται στον ιστότοπο, όπως σελίδες σύνδεσης. Για να επιτευχθεί αυτό, έχει από προεπιλογή μια σειρά λεξικών που θα χρησιμοποιήσει για να υποβάλει αιτήματα στον διακομιστή αναμονής κωδικός κατάστασης απάντηση 200.
- Ενεργή σάρωση: Δημιουργεί αυτόματα διάφορες διαδικτυακές επιθέσεις εναντίον του ιστότοπου, όπως CSRF, XSS, SQL Injection, μεταξύ άλλων.
- Και πολλοί άλλοι: Στην πραγματικότητα υπάρχουν πολλές άλλες δυνατότητες όπως: Υποστήριξη για πρίζες από την έκδοση 2.0.0, AJAX Spider, Fuzzer και πολλά άλλα.
Διαμόρφωση με τον Firefox
Μπορούμε να διαμορφώσουμε την πρίζα μέσω της οποίας το ZAP θα ακούει εάν πρόκειται Εργαλεία -> Επιλογές -> Τοπικός διακομιστής μεσολάβησης. Στην περίπτωσή μου το ακούω στη θύρα 8018:
Διαμόρφωση «Τοπικός διακομιστής μεσολάβησης»
Στη συνέχεια ανοίγουμε τις προτιμήσεις του Firefox και θα το κάνουμε Για προχωρημένους -> Δίκτυο -> Διαμόρφωση -> Μη αυτόματη διαμόρφωση διακομιστή μεσολάβησης. Δείχνουμε την υποδοχή που είχαμε διαμορφώσει προηγουμένως στο ZAP:
Διαμόρφωση διακομιστή μεσολάβησης στον Firefox
Εάν όλα πάνε καλά, θα στείλουμε όλη μας την κυκλοφορία HTTP στο ZAP και θα είναι υπεύθυνο για την ανακατεύθυνσή του όπως θα κάναμε μεσολάβηση. Για παράδειγμα, μπαίνω σε αυτό το ιστολόγιο από το πρόγραμμα περιήγησης και βλέπω τι συμβαίνει στο ZAP:
Μπορούμε να δούμε ότι έχουν δημιουργηθεί περισσότερα από 100 μηνύματα HTTP (τα περισσότερα χρησιμοποιούν τη μέθοδο GET) για να φορτώσουν πλήρως τη σελίδα. Όπως βλέπουμε στην καρτέλα Sites Όχι μόνο δημιουργήθηκε επισκεψιμότητα σε αυτό το ιστολόγιο, αλλά και σε άλλες σελίδες. Ένα από αυτά είναι το Facebook και δημιουργείται από το κοινωνικό πρόσθετο στο κάτω μέρος της σελίδας «Ακολουθήστε μας στο Facebook". Το έκανε επίσης Google Analytics το οποίο δείχνει την παρουσία του εν λόγω εργαλείου για την ανάλυση και οπτικοποίηση των στατιστικών αυτού του ιστολογίου από τους διαχειριστές του ιστότοπου.
Μπορούμε επίσης να παρατηρήσουμε λεπτομερώς κάθε ένα από τα μηνύματα HTTP που ανταλλάσσονται, ας δούμε την απάντηση που δημιουργήθηκε από τον διακομιστή ιστού αυτού του ιστολογίου όταν εισήγαγα τη διεύθυνση http://desdelinux.net επιλέγοντας το αντίστοιχο αίτημα HTTP GET:
Λεπτομέρεια μηνύματος HTTP
Σημειώνουμε ότι α κωδικός κατάστασης 301, που δείχνει μια ανακατεύθυνση που κατευθύνεται προς https://blog.desdelinux.net/.
ZAP γίνεται μια εξαιρετική εντελώς δωρεάν εναλλακτική λύση Burp Σουίτα Για όσους από εμάς αρχίζουμε σε αυτόν τον συναρπαστικό κόσμο της ασφάλειας του διαδικτύου, σίγουρα θα ξοδεύουμε ώρες και ώρες στην πρώτη γραμμή αυτού του εργαλείου μαθαίνοντας διαφορετικές τεχνικές ηλεκτρονικής εισβολής, Κουβαλάω μερικάΤο 😛
Αυτό είναι κάτι που πρέπει να κάνω, κυρίως για να αποδείξω τι κάνω.
Είναι αρκετά ενδιαφέρον
Αυτό το εργαλείο φαίνεται πολύ πιο ολοκληρωμένο από το Microsoft Network Monitor. Η συνεισφορά εκτιμάται.
Εξαιρετικά, σας ευχαριστώ πολύ για τις πληροφορίες και την εξήγηση.
Χαιρετισμούς.
IMHO, νομίζω ότι αυτά τα εργαλεία πρέπει να αφεθούν για σκοπούς ασφαλείας και όχι να τα δημοσιεύσουν σε ένα linux blog. Υπάρχουν άνθρωποι που μπορούν να το χρησιμοποιήσουν ανεύθυνα ή ασυνείδητα.
Τα εργαλεία θα είναι πάντα διπλής όψης εργαλεία, καθώς χρησιμοποιούνται από το καλό και το κακό, δυστυχώς αυτό δεν μπορεί να αποφευχθεί. Το OWASP ZAP είναι ένα εργαλείο που αναγνωρίζεται από την κοινότητα EH στον τομέα της ασφάλειας του διαδικτύου και χρησιμοποιείται για ελέγχους στο Διαδίκτυο. Θυμηθείτε, "Με μεγάλη δύναμη έρχεται μεγάλη ευθύνη."
Δημοσίευσα αυτήν την καταχώρηση επειδή μελετώ αυτοδίδακτους για να προσφέρω υπηρεσίες HD στο μέλλον και νόμιζα ότι θα ήταν ενδιαφέρον για άλλους αναγνώστες. Το τέλος δεν είναι ότι το χρησιμοποιούν παράνομα, πολύ λιγότερο, εξ ου και η προειδοποίηση στην αρχή της ανάρτησης.
Χαιρετισμούς!
PD1 ->: αυτό είναι ύποπτο: Εντοπίστηκε Troll; Έχω την αμφιβολία….
PD2 -> Jhahaha Παρακαλώ μην το μετατρέψετε σε πόλεμο φλόγας από εδώ προς τα κάτω, όπως σε άλλες δημοσιεύσεις.