Proxy di attacco Zed OWASP

El Proxy attacco Zed (ZAP) è uno strumento gratuito scritto in formato Java proveniente da Progetto OWASP per effettuare, in prima istanza, penetration test nelle applicazioni web sebbene possa essere utilizzato anche dagli sviluppatori nel loro lavoro quotidiano. Ad oggi è nella sua versione 2.1.0 e necessita di Java 7 per correre, anche se lo uso in Debian GNU / Linux bajo OpenJDK 7. Per quelli di noi che stanno iniziando nel mondo della sicurezza delle applicazioni web, è uno strumento eccellente per affinare le nostre capacità.

Tra le tante funzionalità di ZAP, Commenterò quanto segue:

• Proxy di intercettazione: Ideale per chi come noi è alle prime armi in questo campo della sicurezza, configurato in modo corretto, permette di vedere tutto il traffico tra browser e web server del momento, mostrando in modo semplice le intestazioni e il corpo dei messaggi HTTP indipendentemente dal metodo utilizzato (HEAD, GET, POST, ecc.). Inoltre possiamo modificare a piacimento il traffico HTTP in entrambe le direzioni di comunicazione (tra il server web e il browser).
• Ragno: È una funzionalità che aiuta a scoprire nuovi URL sul sito controllato. Uno dei modi in cui lo fa è analizzando il codice HTML della pagina per scoprire i tag. e segui i loro attributi href.
• Navigazione forzata: Prova a scoprire file e directory non indicizzati sul sito come le pagine di accesso. Per ottenere ciò, dispone di default di una serie di dizionari che utilizzerà per effettuare richieste al server in attesa codice di stato risposta 200.
• Scansione attiva: Genera automaticamente diversi attacchi web contro il sito come CSRF, XSS, SQL Injection tra gli altri.
• E molti altri: In realtà ci sono molte altre funzionalità come: Supporto per web socket dalla versione 2.0.0, AJAX Spider, Fuzzer e pochi altri.

Configurazione con Firefox

Possiamo configurare il socket attraverso il quale ZAP sarà in ascolto, se vogliamo Strumenti -> Opzioni -> Proxy locale. Nel mio caso ce l'ho in ascolto sulla porta 8018:

Configurazione «Proxy locale»

Quindi apriamo le preferenze di Firefox e lo faremo Avanzate -> Rete -> Configurazione -> Configurazione proxy manuale. Indichiamo il socket che abbiamo precedentemente configurato in ZAP:

Configura il proxy in Firefox

Se tutto è andato bene, invieremo tutto il nostro traffico HTTP a ZAP e sarà incaricato di reindirizzarlo come farebbe qualsiasi proxy. Ad esempio, entro in questo blog dal browser e vedo cosa succede in ZAP:

Panoramica di ZAP

Possiamo vedere che più di 100 messaggi HTTP (la maggior parte utilizzando il metodo GET) sono stati generati per caricare completamente la pagina. Come si vede nella scheda Siti Non solo è stato generato traffico a questo blog, ma anche ad altre pagine. Uno di questi è Facebook ed è generato dal social plugin in fondo alla pagina «Seguici su Facebook". Anche fatto Google Analytics che indica la presenza di detto strumento per l'analisi e la visualizzazione delle statistiche di questo blog da parte degli amministratori del sito.

Possiamo anche osservare in dettaglio ciascuno dei messaggi HTTP scambiati, vediamo la risposta che è stata generata dal server web di questo blog quando ho inserito l'indirizzo http://desdelinux.net scegliendo la rispettiva richiesta HTTP GET:

Dettagli del messaggio HTTP

Notiamo che a codice di stato 301, che indica un reindirizzamento diretto a https://blog.desdelinux.net/.

ZAP diventa un'ottima alternativa completamente gratuita a Burp Suite Per quelli di noi che stanno iniziando in questo entusiasmante mondo della sicurezza web, passeremo sicuramente ore e ore davanti a questo strumento imparando diverse tecniche di hacking web, Ne porto alcuni. ?