OWASPZed攻撃プロキシ

El Zed Attack Proxy(ZAP) で書かれた無料のツールです Java から来る OWASPプロジェクト 最初に、Webアプリケーションで侵入テストを実行しますが、開発者は日常業務で使用することもできます。 今日の時点で、バージョン2.1.0であり、 ジャワ7 私はそれを使用していますが、実行するには Debian GNU / Linux バホ OpenJDK 7。 Webアプリケーションセキュリティの世界を始めている私たちにとって、それは私たちのスキルを磨くための優れたツールです。

一部の機能(たとえば アクティブスキャン)の ZAPプロキシ 違法行為と見なされる可能性があるため、当社以外のサイトや事前の許可がないサイトに対しては使用しないでください。

の多くの機能の中で ZAP、私は以下についてコメントします:

  • 傍受プロキシ: このセキュリティ分野の初心者であり、正しい方法で構成されている私たちにとって理想的であり、ブラウザとWebサーバー間の現在のすべてのトラフィックを確認し、HTTPのヘッダーと本文を簡単に表示できます。使用する方法(HEAD、GET、POSTなど)に関係なくメッセージ。 さらに、 双方向の通信(Webサーバーとブラウザー間)でHTTPトラフィックを自由に変更します。
  • クモ: これは、監査対象サイトで新しいURLを検出するのに役立つ機能です。 これを行う方法のXNUMXつは、ページのHTMLコードを解析してタグを検出することです。 そしてそれらの属性に従います href。
  • 強制ブラウジング: ログインページなど、サイト上のインデックス付けされていないファイルやディレクトリを検出しようとします。 これを実現するために、デフォルトでは、待機中のサーバーにリクエストを送信するために使用する一連のディクショナリがあります。 ステータスコード 応答200。
  • アクティブスキャン: CSRF、XSS、SQLインジェクションなど、サイトに対してさまざまなWeb攻撃を自動的に生成します。
  • そして他の多く: 実際には、次のような他の多くの機能があります。バージョン2.0.0からのWebソケットのサポート、AJAX Spider、Fuzzer、およびその他のいくつかの機能。

Firefoxでの構成

ZAPがリッスンするソケットを構成できます。 ツール->オプション->ローカルプロキシ。 私の場合、ポート8018でリッスンしています。

「ローカルプロキシ」構成

構成«ローカルプロキシ»

次に、Firefoxの設定を開きます。 詳細->ネットワーク->構成->手動プロキシ構成。 以前にZAPで構成したソケットを示します。

Firefoxでプロキシを構成する

Firefoxでプロキシを構成する

すべてがうまくいけば、すべてのHTTPトラフィックをZAPに送信します。これにより、他のプロキシと同じようにリダイレクトが処理されます。 例として、ブラウザからこのブログに入り、ZAPで何が起こるか見てみましょう。

ZAPの概要

ZAPの概要

ページを完全にロードするために、100を超えるHTTPメッセージ(ほとんどがGETメソッドを使用)が生成されていることがわかります。 タブにあるように サイト このブログだけでなく、他のページへのトラフィックも生成されています。 それらのXNUMXつはFacebookであり、ページの下部にあるソーシャルプラグインによって生成されます«フェースブックでフォローして"。 またしました Google Analytics これは、サイトの管理者がこのブログの統計を分析および視覚化するためのツールの存在を示しています。

交換された各HTTPメッセージを詳細に観察することもできます。アドレスを入力したときに、このブログのWebサーバーによって生成された応答を見てみましょう。 http://desdelinux.net それぞれのHTTPGETリクエストの選択:

HTTPメッセージの詳細

HTTPメッセージの詳細

私たちは注意します ステータスコード 301、これはに向けられたリダイレクトを示します https://blog.desdelinux.net/.

ZAP に代わる優れた完全無料の代替品になります Burp Suite このエキサイティングなWebセキュリティの世界で始めている私たちにとって、私たちは確かにこのツールの最前線でさまざまなWebハッキング技術を学ぶために何時間も費やします。 私はいくつか持っています。 😛


5コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ドワーフ

    それは私がしなければならないことであり、主に私がしていることを証明するためです。

    とてもおもしろいです

  2.   エリオタイム3000

    このツールは、Microsoft NetworkMonitorよりもはるかに完全に見えます。 貢献に感謝します。

  3.   荷台

    素晴らしい、情報と説明をありがとうございました。
    ご挨拶。

  4.   ザビP

    私見ですが、これらのツールはセキュリティスコープ用に残しておくべきであり、Linuxブログに公開するべきではないと思います。 無責任または無意識に使用できる人がいます。

    1.    パブロックス

      ツールは常に両刃のツールになります。なぜなら、ツールは善と悪によって使用されるためですが、残念ながらそれは避けられません。 OWASP ZAPは、Webセキュリティの分野でEHコミュニティによって認識されているツールであり、Web監査に使用されます。 「大きな力には大きな責任が伴う」ことを忘れないでください。

      将来的にHDサービスを提供するために独学で勉強していて、他の読者の興味を引くと思ったので、この投稿を公開しました。 終わりは、彼らがそれを違法に使用しているということではなく、ましてや、投稿の冒頭に警告があります。

      こんにちは!

      PD1->:疑わしい:トロールが検出されましたか? 疑問があります…。
      PD2-> Jhahaha他の投稿のように、これをここから下への炎上戦争にしないでください。