פרוקסי OWASP Zed Attack

El פרוקסי Zed Attack (ZAP) הוא כלי חינמי שנכתב ב Java מגיע מ פרויקט OWASP לבצע, בשלב ראשון, מבחני חדירה ביישומי אינטרנט, אם כי מפתחים יכולים להשתמש בהם גם בעבודה היומיומית שלהם. נכון להיום הוא בגרסת 2.1.0 שלו וצרכים Java 7 לרוץ, למרות שאני משתמש בו ב דביאן גנו / לינוקס נמוך OpenJDK 7. לאלו מאיתנו שמתחילים בעולם אבטחת יישומי האינטרנט, זה כלי מצוין ללטש את הכישורים שלנו.

חלק מהתכונות (למשל סריקה פעילה) של פרוקסי ZAP אין להשתמש בהם כנגד אתרים שאינם שלנו או שאין לנו אישור מראש לעשות זאת, מכיוון שהם יכולים להיחשב כפעילות בלתי חוקית

בין התכונות הרבות של ZAP, אתייחס לדברים הבאים:

  • פרוקסי יירוט: אידיאלי עבור אלה מאיתנו המתחילים בתחום האבטחה הזה, מוגדרים בצורה נכונה, זה מאפשר לראות את כל התנועה בין הדפדפן לשרת האינטרנט של הרגע, ומראה בצורה פשוטה את הכותרות והגוף של ה- HTTP. הודעות ללא קשר לשיטה בה נעשה שימוש (HEAD, GET, POST וכו '). בנוסף אנחנו יכולים לשנות את תעבורת ה- HTTP כרצונו בשני כיווני התקשורת (בין שרת האינטרנט לדפדפן).
  • עַכָּבִישׁ: זו תכונה שעוזרת לגלות כתובות URL חדשות באתר המבוקר. אחת הדרכים שהיא עושה זאת היא על ידי ניתוח קוד ה- HTML של הדף כדי לגלות תגים. ועקוב אחר התכונות שלהם href.
  • גלישה כפויה: מנסה לאתר קבצים וספריות שאינם באינדקס כגון דפי כניסה. כדי להשיג זאת יש לו כברירת מחדל סדרת מילונים בה היא תשתמש כדי להגיש בקשות לשרת הממתין קוד סטטוס תגובה 200.
  • סריקה פעילה: מייצר באופן אוטומטי התקפות אינטרנט שונות נגד האתר כגון CSRF, XSS, SQL Injection בין היתר.
  • ורבים אחרים: למעשה ישנן תכונות רבות אחרות כגון: תמיכה בשקעי אינטרנט מגרסה 2.0.0, AJAX Spider, Fuzzer, וכמה אחרים.

תצורה עם Firefox

אנו יכולים להגדיר את השקע שדרכו ZAP ישמע אם אנו הולכים כלים -> אפשרויות -> פרוקסי מקומי. במקרה שלי יש לי את זה בהאזנה ביציאה 8018:

תצורת "proxy מקומי"

תצורה «פרוקסי מקומי»

ואז נפתח את העדפות פיירפוקס ואנחנו נפתח מתקדם -> רשת -> תצורה -> תצורת פרוקסי ידנית. אנו מציינים את השקע שהגדרנו בעבר ב- ZAP:

הגדר את ה- proxy ב- Firefox

הגדר את ה- proxy ב- Firefox

אם הכל התנהל כשורה, אנו נשלח את כל תעבורת ה- HTTP שלנו ל- ZAP והיא תנתב אותה כמו כל שרת proxy. כדוגמה, אני נכנס לבלוג זה מהדפדפן ורואה מה קורה ב- ZAP:

סקירת ZAP

סקירת ZAP

אנו יכולים לראות כי יותר מ 100 הודעות HTTP (לרוב בשיטת GET) נוצרו כדי לטעון את הדף באופן מלא. כפי שאנו רואים בלשונית אתרים לא רק שנוצרה תנועה לבלוג זה, אלא גם לדפים אחרים. אחד מהם הוא פייסבוק והוא נוצר על ידי התוסף החברתי בתחתית הדף «עקוב אחרינו בפייסבוק". גם עשה Google Analytics המעיד על הימצאות הכלי האמור לניתוח והדמיה של סטטיסטיקה של בלוג זה על ידי מנהלי האתר.

אנו יכולים גם לראות בפירוט כל אחת מהודעות ה- HTTP שהוחלפו, בואו נראה את התגובה שנוצרה על ידי שרת האינטרנט של הבלוג הזה כשהזנתי את הכתובת. http://desdelinux.net בחירת בקשת HTTP GET המתאימה לה:

פרטי הודעת HTTP

פרטי הודעת HTTP

נציין כי א קוד סטטוס 301, המציין הפניה מחדש המופנית כלפי https://blog.desdelinux.net/.

ZAP הופך לחלופה מעולה לגמרי בחינם ל- BurpSuite לאלו מאיתנו שמתחילים בעולם המרתק הזה של אבטחת רשת, בוודאי נבלה שעות על גבי כלי זה בלימוד טכניקות שונות של פריצת רשת, אני נושא כמה. 😛


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

5 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   ננו דיג'ו

    זה משהו שאני צריך לעשות, בעיקר כדי להוכיח את מה שאני עושה.

    זה די מעניין

  2.   אליוטיים 3000 דיג'ו

    כלי זה נראה הרבה יותר שלם מאשר צג הרשת של מיקרוסופט. התרומה מוערכת.

  3.   קארפר דיג'ו

    מעולה, תודה רבה על המידע וההסבר.
    ברכות.

  4.   XaviP דיג'ו

    IMHO, אני חושב שיש להשאיר את הכלים הללו להיקפי אבטחה ולא לפרסם אותם בבלוג לינוקס. יש אנשים שיכולים להשתמש בזה בצורה לא אחראית או לא מודעת.

    1.    פאבלו דיג'ו

      כלים תמיד יהיו כלים עם פיפיות, מכיוון שהם משמשים את הטוב והרע, למרבה הצער אי אפשר להימנע מכך. OWASP ZAP הוא כלי המוכר על ידי קהילת EH בתחום אבטחת הרשת ומשמש לביקורת אינטרנט. זכרו, "בכוח רב באה אחריות גדולה."

      פרסמתי את הפוסט הזה כי אני לומד אוטודידקט להציע שירותי HD בעתיד וחשבתי שזה יעניין קוראים אחרים. הסוף הוא לא שהם משתמשים בו באופן בלתי חוקי, הרבה פחות מכך, ומכאן האזהרה בתחילת ההודעה.

      ¡Saludos!

      PD1 ->: זה חשוד: טרול זוהה? יש לי ספק ....
      PD2 -> Jhahaha אנא אל תתנו לזה להפוך למלחמת להבות מכאן ומטה כמו בהודעות אחרות.