El פרוקסי Zed Attack (ZAP) הוא כלי חינמי שנכתב ב Java מגיע מ פרויקט OWASP לבצע, בשלב ראשון, מבחני חדירה ביישומי אינטרנט, אם כי מפתחים יכולים להשתמש בהם גם בעבודה היומיומית שלהם. נכון להיום הוא בגרסת 2.1.0 שלו וצרכים Java 7 לרוץ, למרות שאני משתמש בו ב דביאן גנו / לינוקס נמוך OpenJDK 7. לאלו מאיתנו שמתחילים בעולם אבטחת יישומי האינטרנט, זה כלי מצוין ללטש את הכישורים שלנו.
בין התכונות הרבות של ZAP, אתייחס לדברים הבאים:
- פרוקסי יירוט: אידיאלי עבור אלה מאיתנו המתחילים בתחום האבטחה הזה, מוגדרים בצורה נכונה, זה מאפשר לראות את כל התנועה בין הדפדפן לשרת האינטרנט של הרגע, ומראה בצורה פשוטה את הכותרות והגוף של ה- HTTP. הודעות ללא קשר לשיטה בה נעשה שימוש (HEAD, GET, POST וכו '). בנוסף אנחנו יכולים לשנות את תעבורת ה- HTTP כרצונו בשני כיווני התקשורת (בין שרת האינטרנט לדפדפן).
- עַכָּבִישׁ: זו תכונה שעוזרת לגלות כתובות URL חדשות באתר המבוקר. אחת הדרכים שהיא עושה זאת היא על ידי ניתוח קוד ה- HTML של הדף כדי לגלות תגים. ועקוב אחר התכונות שלהם href.
- גלישה כפויה: מנסה לאתר קבצים וספריות שאינם באינדקס כגון דפי כניסה. כדי להשיג זאת יש לו כברירת מחדל סדרת מילונים בה היא תשתמש כדי להגיש בקשות לשרת הממתין קוד סטטוס תגובה 200.
- סריקה פעילה: מייצר באופן אוטומטי התקפות אינטרנט שונות נגד האתר כגון CSRF, XSS, SQL Injection בין היתר.
- ורבים אחרים: למעשה ישנן תכונות רבות אחרות כגון: תמיכה בשקעי אינטרנט מגרסה 2.0.0, AJAX Spider, Fuzzer, וכמה אחרים.
תצורה עם Firefox
אנו יכולים להגדיר את השקע שדרכו ZAP ישמע אם אנו הולכים כלים -> אפשרויות -> פרוקסי מקומי. במקרה שלי יש לי את זה בהאזנה ביציאה 8018:
תצורה «פרוקסי מקומי»
ואז נפתח את העדפות פיירפוקס ואנחנו נפתח מתקדם -> רשת -> תצורה -> תצורת פרוקסי ידנית. אנו מציינים את השקע שהגדרנו בעבר ב- ZAP:
הגדר את ה- proxy ב- Firefox
אם הכל התנהל כשורה, אנו נשלח את כל תעבורת ה- HTTP שלנו ל- ZAP והיא תנתב אותה כמו כל שרת proxy. כדוגמה, אני נכנס לבלוג זה מהדפדפן ורואה מה קורה ב- ZAP:
אנו יכולים לראות כי יותר מ 100 הודעות HTTP (לרוב בשיטת GET) נוצרו כדי לטעון את הדף באופן מלא. כפי שאנו רואים בלשונית אתרים לא רק שנוצרה תנועה לבלוג זה, אלא גם לדפים אחרים. אחד מהם הוא פייסבוק והוא נוצר על ידי התוסף החברתי בתחתית הדף «עקוב אחרינו בפייסבוק". גם עשה Google Analytics המעיד על הימצאות הכלי האמור לניתוח והדמיה של סטטיסטיקה של בלוג זה על ידי מנהלי האתר.
אנו יכולים גם לראות בפירוט כל אחת מהודעות ה- HTTP שהוחלפו, בואו נראה את התגובה שנוצרה על ידי שרת האינטרנט של הבלוג הזה כשהזנתי את הכתובת. http://desdelinux.net בחירת בקשת HTTP GET המתאימה לה:
פרטי הודעת HTTP
נציין כי א קוד סטטוס 301, המציין הפניה מחדש המופנית כלפי https://blog.desdelinux.net/.
ZAP הופך לחלופה מעולה לגמרי בחינם ל- סוויטת בורפ לאלו מאיתנו שמתחילים בעולם המרתק הזה של אבטחת רשת, בוודאי נבלה שעות על גבי כלי זה בלימוד טכניקות שונות של פריצת רשת, אני נושא כמה. 😛
זה משהו שאני צריך לעשות, בעיקר כדי להוכיח את מה שאני עושה.
זה די מעניין
כלי זה נראה הרבה יותר שלם מאשר צג הרשת של מיקרוסופט. התרומה מוערכת.
מעולה, תודה רבה על המידע וההסבר.
ברכות.
IMHO, אני חושב שיש להשאיר את הכלים הללו להיקפי אבטחה ולא לפרסם אותם בבלוג לינוקס. יש אנשים שיכולים להשתמש בזה בצורה לא אחראית או לא מודעת.
כלים תמיד יהיו כלים עם פיפיות, מכיוון שהם משמשים את הטוב והרע, למרבה הצער אי אפשר להימנע מכך. OWASP ZAP הוא כלי המוכר על ידי קהילת EH בתחום אבטחת הרשת ומשמש לביקורת אינטרנט. זכרו, "בכוח רב באה אחריות גדולה."
פרסמתי את הפוסט הזה כי אני לומד אוטודידקט להציע שירותי HD בעתיד וחשבתי שזה יעניין קוראים אחרים. הסוף הוא לא שהם משתמשים בו באופן בלתי חוקי, הרבה פחות מכך, ומכאן האזהרה בתחילת ההודעה.
¡Saludos!
PD1 ->: זה חשוד: טרול זוהה? יש לי ספק ....
PD2 -> Jhahaha אנא אל תתנו לזה להפוך למלחמת להבות מכאן ומטה כמו בהודעות אחרות.