El Zed Attack -välityspalvelin (ZAP) on ilmainen työkalu, joka on kirjoitettu kielellä Jaava lähtöisin OWASP-projekti suorittaa ensisijaisesti tunkeutumistestejä verkkosovelluksissa, vaikka kehittäjät voivat käyttää sitä myös päivittäisessä työssään. Tästä päivästä lähtien se on versiossaan 2.1.0 ja tarvitsee Java 7 juosta, vaikka käytän sitä Debian GNU / Linux alhainen OpenJDK 7. Niille meistä, jotka aloittavat verkkosovellusten turvallisuuden maailmassa, se on erinomainen työkalu taitojemme parantamiseen.
Niiden monien ominaisuuksien joukossa ZAP, Kommentoin seuraavaa:
- Sieppauksen välityspalvelin: Ihanteellinen niille meistä, jotka olemme aloittelijoita tällä suojausalalla ja jotka on määritetty oikein, se antaa mahdollisuuden nähdä kaiken liikenteen selaimen ja verkkopalvelimen välillä ja näyttää yksinkertaisella tavalla HTTP-viestien otsikot ja rungon riippumatta käytetty menetelmä (HEAD, GET, POST jne.). Lisäksi voimme muokkaa HTTP-liikennettä haluamallaan tavalla molempiin suuntiin (verkkopalvelimen ja selaimen välillä).
- Hämähäkki: Se on ominaisuus, joka auttaa löytämään uusia URL-osoitteita tarkastetulta sivustolta. Yksi tapa tehdä se on jäsentää sivun HTML-koodi tunnisteiden löytämiseksi. ja seuraa heidän ominaisuuksiaan href.
- Pakotettu selaus: Yrittää löytää sivustolta indeksoimattomat tiedostot ja hakemistot, kuten kirjautumissivut. Tämän saavuttamiseksi sillä on oletusarvoisesti joukko sanakirjoja, joita se käyttää pyyntöjen tekemiseen odottavalle palvelimelle tilakoodi vastaus 200.
- Aktiivinen skannaus: Luo automaattisesti erilaisia verkkohyökkäyksiä esimerkiksi sivustolle CSRF, XSS, SQL Injection.
- Ja monet muut: Itse asiassa on monia muita ominaisuuksia, kuten: Verkkopistorasioiden tuki versiosta 2.0.0, AJAX Spider, Fuzzer ja muutama muu.
Konfigurointi Firefoxilla
Voimme määrittää pistorasian, jonka kautta ZAP kuuntelee, jos aiomme Työkalut -> Asetukset -> Paikallinen välityspalvelin. Minun tapauksessani minulla on se kuunnella porttia 8018:
Sitten avaamme Firefox-asetukset ja teemme Lisäasetukset -> Verkko -> Kokoonpano -> Manuaalinen välityspalvelimen määritys. Osoitamme aiemmin ZAP: ssä määrittämämme liitännän:
Jos kaikki on mennyt hyvin, lähetämme kaiken HTTP-liikenteen ZAP: lle ja se vastaa sen uudelleenohjaamisesta kuten mikä tahansa välityspalvelin. Esimerkiksi kirjoitan tämän blogin selaimelta ja näen, mitä ZAP: ssä tapahtuu:
Voimme nähdä, että yli 100 HTTP-viestiä on luotu (useimmiten GET-menetelmää käyttäen) sivun lataamiseksi kokonaan. Kuten näemme välilehdessä Sivustot Tämän blogin lisäksi myös muille sivuille on luotu liikennettä. Yksi niistä on Facebook, ja sen muodostaa sivun alaosassa oleva sosiaalinen laajennus «Seuraa meitä Facebookissa". Myös Google Analytics mikä osoittaa mainitun työkalun olevan olemassa tämän blogin tilastojen analysointia ja visualisointia varten sivuston ylläpitäjien toimesta.
Voimme myös tarkkailla yksityiskohtaisesti kutakin vaihdettua HTTP-viestiä. Katsotaanpa vastausta, jonka tämän blogin web-palvelin loi, kun kirjoitin osoitteen http://desdelinux.net valitsemalla vastaava HTTP GET -pyyntö:
Huomaamme, että a tilakoodi 301, joka osoittaa suuntaan, joka on suunnattu https://blog.desdelinux.net/.
ZAP tulee erinomainen täysin ilmainen vaihtoehto Burp-sviitti Niille meistä, jotka ovat aloittamassa tätä jännittävää verkkoturvallisuuden maailmaa, vietämme varmasti tuntikausia tämän työkalun edessä oppimalla erilaisia verkkohakkerointitekniikoita, Minulla on muutama🇧🇷 🇧🇷
Se on jotain, joka minun on tehtävä, lähinnä todistamaan, mitä teen.
Se on varsin mielenkiintoista
Tämä työkalu näyttää paljon täydellisemmältä kuin Microsoft Network Monitor. Panos on arvostettu.
Erinomainen, kiitos paljon tiedoista ja selityksistä.
Tervehdys.
IMHO, mielestäni nämä työkalut tulisi jättää tietoturva-alueille, eivätkä julkaista sitä linux-blogissa. On ihmisiä, jotka voivat käyttää sitä vastuuttomasti tai tiedostamatta.
Työkalut ovat aina kaksiteräisiä työkaluja, koska hyvät ja huonot käyttävät niitä, valitettavasti sitä ei voida välttää. OWASP ZAP on EH-yhteisön tunnistama työkalu verkkoturvallisuuden alalla, ja sitä käytetään verkkotarkastuksiin. Muista: "Suurella voimalla on suuri vastuu."
Julkaisin tämän viestin, koska opiskelen itseopetusta HD-palveluiden tarjoamiseksi tulevaisuudessa ja ajattelin, että se kiinnostaa muita lukijoita. Loppu ei ole, että he käyttävät sitä laittomasti, vielä vähemmän, joten varoitus viestin alussa.
Tervehdys!
PD1 ->: se on epäilyttävää: Uistelu havaittu? Minulla on epäilyksiä…
PD2 -> Jhahaha Älä anna tämän tulla liekkisodaksi täältä alhaalta kuten muissakin viesteissä.