OWASP Zed Attacki puhverserver

El Zed Attacki puhverserver (ZAP) on tasuta kirjutatud tööriist Java pärit OWASP projekt esmajärjekorras veebirakendustes läbitungimise testide läbiviimiseks, kuigi arendajad saavad seda kasutada ka oma igapäevatöös. Tänaseks on see oma versioonis 2.1.0 ja vajab Java 7 joosta, kuigi ma kasutan seda sisse Debiani GNU / Linux bajo OpenJDK 7. Neile meist, kes alustavad veebirakenduste turvalisuse maailmas, on see suurepärane vahend oma oskuste lihvimiseks.

Paljude funktsioonide seas ZAP, Kommenteerin järgmist:

• Kuulamise puhverserver: Ideaalne neile meist, kes oleme selles turvalisuse valdkonnas algajad, õigesti konfigureeritud, võimaldab näha kogu liiklust brauseri ja veebiserveri vahel, näidates lihtsal viisil HTTP päiseid ja keha sõnumeid olenemata kasutatud meetodist (HEAD, GET, POST jne). Lisaks saame muuta HTTP-liiklust oma äranägemise järgi mõlemas suunas (veebiserveri ja brauseri vahel).
• Ämblik: See on funktsioon, mis aitab auditeeritaval saidil uusi URL-e avastada. Üks viis seda teha on lehtede HTML-koodi sõelumine siltide avastamiseks. ja järgige nende omadusi href.
• Sunnitud sirvimine: See püüab avastada saidil indekseerimata faile ja katalooge, näiteks sisselogimislehti. Selle saavutamiseks on tal vaikimisi rida sõnastikke, mida ta kasutab ooteserverisse päringute esitamiseks olekukood vastus 200.
• Aktiivne skannimine: Genereerib automaatselt saidi vastu erinevaid veebirünnakuid, näiteks CSRF, XSS, SQL Injection.
• Ja paljud teised: Tegelikult on palju muid funktsioone, näiteks: Veebipesade tugi versioonist 2.0.0, AJAX Spider, Fuzzer ja veel mõned.

Konfigureerimine Firefoxiga

Saame konfigureerida pesa, mille kaudu ZAP kuulab, kui me läheme Tööriistad -> Valikud -> Kohalik puhverserver. Minu puhul on mul see pordil 8018 kuulamine:

Konfiguratsioon «Kohalik puhverserver»

Seejärel avame Firefoxi eelistused ja teeme Täpsem -> Võrk -> Konfiguratsioon -> Puhverserveri käsitsi konfigureerimine. Näitame pesa, mille oleme varem ZAP-is konfigureerinud:

Konfigureerige Firefoxis puhverserver

Kui kõik on hästi läinud, saadame kogu oma HTTP-liikluse ZAP-ile ja see vastutab selle ümbersuunamise eest nagu iga puhverserver. Näiteks sisestan brauserist selle ajaveebi ja näen, mis ZAP-is toimub:

ZAP ülevaade

Näeme, et lehe täielikuks laadimiseks on loodud rohkem kui 100 HTTP-sõnumit (enamasti kasutatakse meetodit GET). Nagu vahekaardil näeme Saidid Liiklus on loodud mitte ainult sellele ajaveebile, vaid ka teistele lehtedele. Üks neist on Facebook ja selle genereerib lehe allosas olev sotsiaalne pistikprogramm «Jälgi meid Facebookis ". Ka tegi Google Analytics mis näitab nimetatud tööriista olemasolu selle ajaveebi statistika analüüsimiseks ja visualiseerimiseks saidi administraatorite poolt.

Samuti võime üksikasjalikult jälgida kõiki vahetatud HTTP-sõnumeid. Vaatame vastust, mille selle blogi veebiserver tekitas, kui sisestasin aadressi http://desdelinux.net vastava HTTP GET-päringu valimine:

HTTP-sõnumi üksikasjad

Märgime, et a olekukood 301, mis näitab suunamist, mis on suunatud https://blog.desdelinux.net/.

ZAP saab suurepäraseks täiesti tasuta alternatiiviks Burpi sviit Neile meist, kes alustavad sellest põnevast veebiturvalisuse maailmast, veedame kindlasti tunde ja tunde selle tööriista esirinnas, õppides erinevaid veebimurdmise tehnikaid, Ma kannan vähe. 😛