OWASP Zed napadački proxy

El Zed napadački proxy (ZAP) je besplatan alat napisan na Java dolazi iz OWASP projekt provesti u prvom redu testove penetracije u web aplikacijama, iako ih programeri također mogu koristiti u svakodnevnom radu. Od danas je u svojoj verziji 2.1.0 i treba Java 7 za trčanje, iako ga koristim u Debian GNU / Linux bajo OpenJDK 7. Za one od nas koji počinjemo u svijetu sigurnosti web aplikacija, to je izvrstan alat za poliranje naših vještina.

Među mnogim značajkama ZAP, Komentirat ću sljedeće:

• Proxy za presretanje: Idealno za one od nas koji smo početnici u ovom sigurnosnom polju, konfigurirani na ispravan način, omogućuje vam sav promet između preglednika i web poslužitelja trenutka, prikazujući na jednostavan način zaglavlja i tijelo HTTP-a poruke bez obzira na metodu koja se koristi (HEAD, GET, POST, itd.). Uz to možemo modificirati HTTP promet po volji u oba smjera komunikacije (između web poslužitelja i preglednika)
• Pauk: To je značajka koja pomaže u otkrivanju novih URL-ova na revidiranom web mjestu. Jedan od načina na koji to čini je raščlanjivanje HTML koda stranice radi otkrivanja oznaka. i slijedite njihove atribute href.
• Prisilno pregledavanje: Pokušava otkriti neindeksirane datoteke i direktorije na web mjestu, poput stranica za prijavu. Da bi to postigao, po defaultu ima niz rječnika koje će koristiti za upućivanje zahtjeva poslužitelju na čekanju statusni kod odgovor 200.
• Aktivno skeniranje: Automatski generira različite web napade na web lokaciju kao što su CSRF, XSS, SQL Injection, između ostalog.
• I mnogi drugi: Zapravo postoje mnoge druge značajke kao što su: Podrška za web utičnice od verzije 2.0.0, AJAX Spider, Fuzzer i mnoge druge.

Konfiguracija s Firefoxom

Možemo konfigurirati utičnicu kroz koju će ZAP slušati ako to želimo Alati -> Opcije -> Lokalni proxy. U mom slučaju ga slušam na portu 8018:

Konfiguracija «Lokalni proxy»

Tada otvaramo Firefoxove postavke i hoćemo Napredno -> Mreža -> Konfiguracija -> Ručna konfiguracija proxyja. Označavamo utičnicu koju smo prethodno konfigurirali u ZAP-u:

Konfigurirajte proxy u Firefoxu

Ako je sve prošlo u redu, poslat ćemo sav svoj HTTP promet ZAP-u i on će biti zadužen za njegovo preusmjeravanje kao i bilo koji proxy. Kao primjer, ulazim u ovaj blog iz preglednika i vidim što se događa u ZAP-u:

ZAP pregled

Vidimo da je generirano više od 100 HTTP poruka (većina koja koristi GET metodu) za potpuno učitavanje stranice. Kao što vidimo na kartici Stranice Ne samo da je generiran promet na ovom blogu, već i na drugim stranicama. Jedan od njih je Facebook, a generira ga dodatak za društvene mreže na dnu stranice «Pratite nas na Facebooku". Također je Google Analytics što ukazuje na prisustvo navedenog alata za analizu i vizualizaciju statistike ovog bloga od strane administratora web mjesta.

Također možemo detaljno promatrati svaku razmijenjenu HTTP poruku, pogledajmo odgovor koji je generirao web poslužitelj ovog bloga kad sam unijeo adresu http://desdelinux.net odabirom odgovarajućeg HTTP GET zahtjeva:

Pojedinosti HTTP poruke

Primjećujemo da a statusni kod 301, što ukazuje na preusmjeravanje koje je usmjereno prema https://blog.desdelinux.net/.

ZAP postaje izvrsna potpuno besplatna alternativa za Apartman za podrigivanje Za one koji započinjemo s ovim uzbudljivim svijetom web sigurnosti, sigurno ćemo provesti sate i sate ispred ovog alata učeći različite tehnike hakiranja weba, Nosim ih nekoliko. ️