OWASP Zed Attack -välityspalvelin

El Zed Attack -välityspalvelin (ZAP) on ilmainen työkalu, joka on kirjoitettu kielellä Jaava lähtöisin OWASP-projekti suorittaa ensisijaisesti tunkeutumistestejä verkkosovelluksissa, vaikka kehittäjät voivat käyttää sitä myös päivittäisessä työssään. Tästä päivästä lähtien se on versiossaan 2.1.0 ja tarvitsee Java 7 juosta, vaikka käytän sitä Debian GNU / Linux alhainen OpenJDK 7. Niille meistä, jotka aloittavat verkkosovellusten turvallisuuden maailmassa, se on erinomainen työkalu taitojemme parantamiseen.

Joitakin ominaisuuksia (esimerkiksi Aktiivinen skannaus) ZAP-välityspalvelin Niitä ei tule käyttää sivustoihin, jotka eivät ole meidän omiamme tai joihin meillä ei ole ennakkolupaa, koska niitä voidaan pitää laitonta toimintaa

Niiden monien ominaisuuksien joukossa ZAP, Kommentoin seuraavaa:

  • Sieppauksen välityspalvelin: Ihanteellinen niille meistä, jotka olemme aloittelijoita tällä suojausalalla ja jotka on määritetty oikein, se antaa mahdollisuuden nähdä kaiken liikenteen selaimen ja verkkopalvelimen välillä ja näyttää yksinkertaisella tavalla HTTP-viestien otsikot ja rungon riippumatta käytetty menetelmä (HEAD, GET, POST jne.). Lisäksi voimme muokkaa HTTP-liikennettä haluamallaan tavalla molempiin suuntiin (verkkopalvelimen ja selaimen välillä).
  • Hämähäkki: Se on ominaisuus, joka auttaa löytämään uusia URL-osoitteita tarkastetulta sivustolta. Yksi tapa tehdä se on jäsentää sivun HTML-koodi tunnisteiden löytämiseksi. ja seuraa heidän ominaisuuksiaan href.
  • Pakotettu selaus: Yrittää löytää sivustolta indeksoimattomat tiedostot ja hakemistot, kuten kirjautumissivut. Tämän saavuttamiseksi sillä on oletusarvoisesti joukko sanakirjoja, joita se käyttää pyyntöjen tekemiseen odottavalle palvelimelle tilakoodi vastaus 200.
  • Aktiivinen skannaus: Luo automaattisesti erilaisia ​​verkkohyökkäyksiä esimerkiksi sivustolle CSRF, XSS, SQL Injection.
  • Ja monet muut: Itse asiassa on monia muita ominaisuuksia, kuten: Verkkopistorasioiden tuki versiosta 2.0.0, AJAX Spider, Fuzzer ja muutama muu.

Konfigurointi Firefoxilla

Voimme määrittää pistorasian, jonka kautta ZAP kuuntelee, jos aiomme Työkalut -> Asetukset -> Paikallinen välityspalvelin. Minun tapauksessani minulla on se kuunnella porttia 8018:

"Paikallinen välityspalvelin" -määritys

Kokoonpano «Paikallinen välityspalvelin»

Sitten avaamme Firefox-asetukset ja teemme Lisäasetukset -> Verkko -> Kokoonpano -> Manuaalinen välityspalvelimen määritys. Osoitamme aiemmin ZAP: ssä määrittämämme liitännän:

Määritä välityspalvelin Firefoxissa

Määritä välityspalvelin Firefoxissa

Jos kaikki on mennyt hyvin, lähetämme kaiken HTTP-liikenteen ZAP: lle ja se vastaa sen uudelleenohjaamisesta kuten mikä tahansa välityspalvelin. Esimerkiksi kirjoitan tämän blogin selaimelta ja näen, mitä ZAP: ssä tapahtuu:

ZAP-yleiskatsaus

ZAP-yleiskatsaus

Voimme nähdä, että yli 100 HTTP-viestiä on luotu (useimmiten GET-menetelmää käyttäen) sivun lataamiseksi kokonaan. Kuten näemme välilehdessä Sivustot Tämän blogin lisäksi myös muille sivuille on luotu liikennettä. Yksi niistä on Facebook, ja sen muodostaa sivun alaosassa oleva sosiaalinen laajennus «Seuraa meitä Facebookissa". Myös Google Analytics mikä osoittaa mainitun työkalun olevan olemassa tämän blogin tilastojen analysointia ja visualisointia varten sivuston ylläpitäjien toimesta.

Voimme myös tarkkailla yksityiskohtaisesti kutakin vaihdettua HTTP-viestiä. Katsotaanpa vastausta, jonka tämän blogin web-palvelin loi, kun kirjoitin osoitteen http://desdelinux.net valitsemalla vastaava HTTP GET -pyyntö:

HTTP-viestin tiedot

HTTP-viestin tiedot

Huomaamme, että a tilakoodi 301, joka osoittaa suuntaan, joka on suunnattu https://blog.desdelinux.net/.

ZAP tulee erinomainen täysin ilmainen vaihtoehto Burp-sviitti Niille meistä, jotka ovat aloittamassa tätä jännittävää verkkoturvallisuuden maailmaa, vietämme varmasti tuntikausia tämän työkalun edessä oppimalla erilaisia ​​verkkohakkerointitekniikoita, Minulla on muutama🇧🇷 🇧🇷


5 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   nano dijo

    Se on jotain, joka minun on tehtävä, lähinnä todistamaan, mitä teen.

    Se on varsin mielenkiintoista

  2.   eliotime3000 dijo

    Tämä työkalu näyttää paljon täydellisemmältä kuin Microsoft Network Monitor. Panos on arvostettu.

  3.   puuseppä dijo

    Erinomainen, kiitos paljon tiedoista ja selityksistä.
    Tervehdys.

  4.   xavip dijo

    IMHO, mielestäni nämä työkalut tulisi jättää tietoturva-alueille, eivätkä julkaista sitä linux-blogissa. On ihmisiä, jotka voivat käyttää sitä vastuuttomasti tai tiedostamatta.

    1.    pablox dijo

      Työkalut ovat aina kaksiteräisiä työkaluja, koska hyvät ja huonot käyttävät niitä, valitettavasti sitä ei voida välttää. OWASP ZAP on EH-yhteisön tunnistama työkalu verkkoturvallisuuden alalla, ja sitä käytetään verkkotarkastuksiin. Muista: "Suurella voimalla on suuri vastuu."

      Julkaisin tämän viestin, koska opiskelen itseopetusta HD-palveluiden tarjoamiseksi tulevaisuudessa ja ajattelin, että se kiinnostaa muita lukijoita. Loppu ei ole, että he käyttävät sitä laittomasti, vielä vähemmän, joten varoitus viestin alussa.

      Tervehdys!

      PD1 ->: se on epäilyttävää: Uistelu havaittu? Minulla on epäilyksiä…
      PD2 -> Jhahaha Älä anna tämän tulla liekkisodaksi täältä alhaalta kuten muissakin viesteissä.