El Zed Attacki puhverserver (ZAP) on tasuta kirjutatud tööriist Java pärit OWASP projekt esmajärjekorras veebirakendustes läbitungimise testide läbiviimiseks, kuigi arendajad saavad seda kasutada ka oma igapäevatöös. Tänaseks on see oma versioonis 2.1.0 ja vajab Java 7 joosta, kuigi ma kasutan seda sisse Debiani GNU / Linux bajo OpenJDK 7. Neile meist, kes alustavad veebirakenduste turvalisuse maailmas, on see suurepärane vahend oma oskuste lihvimiseks.
Paljude funktsioonide seas ZAP, Kommenteerin järgmist:
- Kuulamise puhverserver: Ideaalne neile meist, kes oleme selles turvalisuse valdkonnas algajad, õigesti konfigureeritud, võimaldab näha kogu liiklust brauseri ja veebiserveri vahel, näidates lihtsal viisil HTTP päiseid ja keha sõnumeid olenemata kasutatud meetodist (HEAD, GET, POST jne). Lisaks saame muuta HTTP-liiklust oma äranägemise järgi mõlemas suunas (veebiserveri ja brauseri vahel).
- Ämblik: See on funktsioon, mis aitab auditeeritaval saidil uusi URL-e avastada. Üks viis seda teha on lehtede HTML-koodi sõelumine siltide avastamiseks. ja järgige nende omadusi href.
- Sunnitud sirvimine: See püüab avastada saidil indekseerimata faile ja katalooge, näiteks sisselogimislehti. Selle saavutamiseks on tal vaikimisi rida sõnastikke, mida ta kasutab ooteserverisse päringute esitamiseks olekukood vastus 200.
- Aktiivne skannimine: Genereerib automaatselt saidi vastu erinevaid veebirünnakuid, näiteks CSRF, XSS, SQL Injection.
- Ja paljud teised: Tegelikult on palju muid funktsioone, näiteks: Veebipesade tugi versioonist 2.0.0, AJAX Spider, Fuzzer ja veel mõned.
Konfigureerimine Firefoxiga
Saame konfigureerida pesa, mille kaudu ZAP kuulab, kui me läheme Tööriistad -> Valikud -> Kohalik puhverserver. Minu puhul on mul see pordil 8018 kuulamine:
Seejärel avame Firefoxi eelistused ja teeme Täpsem -> Võrk -> Konfiguratsioon -> Puhverserveri käsitsi konfigureerimine. Näitame pesa, mille oleme varem ZAP-is konfigureerinud:
Kui kõik on hästi läinud, saadame kogu oma HTTP-liikluse ZAP-ile ja see vastutab selle ümbersuunamise eest nagu iga puhverserver. Näiteks sisestan brauserist selle ajaveebi ja näen, mis ZAP-is toimub:
Näeme, et lehe täielikuks laadimiseks on loodud rohkem kui 100 HTTP-sõnumit (enamasti kasutatakse meetodit GET). Nagu vahekaardil näeme Saidid Liiklus on loodud mitte ainult sellele ajaveebile, vaid ka teistele lehtedele. Üks neist on Facebook ja selle genereerib lehe allosas olev sotsiaalne pistikprogramm «Jälgi meid Facebookis ". Ka tegi Google Analytics mis näitab nimetatud tööriista olemasolu selle ajaveebi statistika analüüsimiseks ja visualiseerimiseks saidi administraatorite poolt.
Samuti võime üksikasjalikult jälgida kõiki vahetatud HTTP-sõnumeid. Vaatame vastust, mille selle blogi veebiserver tekitas, kui sisestasin aadressi http://desdelinux.net vastava HTTP GET-päringu valimine:
Märgime, et a olekukood 301, mis näitab suunamist, mis on suunatud https://blog.desdelinux.net/.
ZAP saab suurepäraseks täiesti tasuta alternatiiviks Burpi sviit Neile meist, kes alustavad sellest põnevast veebiturvalisuse maailmast, veedame kindlasti tunde ja tunde selle tööriista esirinnas, õppides erinevaid veebimurdmise tehnikaid, Ma kannan vähe. 😛
See on asi, mida ma pean tegema, peamiselt selleks, et tõestada, mida ma teen.
See on üsna huvitav
See tööriist näeb välja palju terviklikum kui Microsofti võrgimonitor. Panust hinnatakse.
Suurepärane, suur tänu teabe ja selgituste eest.
Tervitused.
IMHO, ma arvan, et need tööriistad tuleks jätta turvapiirkondade jaoks ja mitte linuxi ajaveebis avaldada. On inimesi, kes saavad seda kasutada vastutustundetult või teadvustamata.
Tööriistad on alati kahe otsaga tööriistad, kuna neid kasutavad nii head kui ka halvad, kahjuks ei saa seda vältida. OWASP ZAP on EH kogukonna poolt veebiturbe valdkonnas tunnustatud tööriist, mida kasutatakse veebiauditite jaoks. Pidage meeles, et "suure jõuga kaasneb suur vastutus".
Avaldasin selle postituse, kuna õpin edaspidi iseõppivat HD-teenuste pakkumiseks ja arvasin, et see pakub teistele lugejatele huvi. Lõpp pole see, et nad seda ebaseaduslikult kasutavad, veel vähem - sellest ka hoiatus postituse alguses.
Tervitused!
PD1 ->: see on kahtlane: tuvastati troll? Mul on kahtlus ...
PD2 -> Jhahaha Palun ärge muutke seda leegisõjaks siit allapoole nagu teistes postitustes.