El ಜೆಡ್ ಅಟ್ಯಾಕ್ ಪ್ರಾಕ್ಸಿ (ZAP) ರಲ್ಲಿ ಬರೆಯಲಾದ ಉಚಿತ ಸಾಧನವಾಗಿದೆ ಜಾವಾ ಬರುವ OWASP ಯೋಜನೆ ಮೊದಲನೆಯದಾಗಿ, ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ನುಗ್ಗುವ ಪರೀಕ್ಷೆಗಳನ್ನು ನಡೆಸಲು, ಇದನ್ನು ಡೆವಲಪರ್ಗಳು ತಮ್ಮ ದೈನಂದಿನ ಕೆಲಸದಲ್ಲಿ ಸಹ ಬಳಸಬಹುದು. ಇಂದಿನಂತೆ ಇದು ಅದರ ಆವೃತ್ತಿ 2.1.0 ನಲ್ಲಿದೆ ಮತ್ತು ಅಗತ್ಯಗಳು ಜಾವಾ 7 ಚಲಾಯಿಸಲು, ನಾನು ಅದನ್ನು ಬಳಸುತ್ತಿದ್ದರೂ ಡೆಬಿಯನ್ ಗ್ನು / ಲಿನಕ್ಸ್ ಅಡಿಯಲ್ಲಿ OpenJDK 7. ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಸುರಕ್ಷತೆಯ ಜಗತ್ತಿನಲ್ಲಿ ಪ್ರಾರಂಭಿಸುತ್ತಿರುವ ನಮ್ಮಲ್ಲಿ, ನಮ್ಮ ಕೌಶಲ್ಯಗಳನ್ನು ಮೆರುಗುಗೊಳಿಸಲು ಇದು ಅತ್ಯುತ್ತಮ ಸಾಧನವಾಗಿದೆ.
ನ ಹಲವು ವೈಶಿಷ್ಟ್ಯಗಳಲ್ಲಿ ZAP, ನಾನು ಈ ಕೆಳಗಿನವುಗಳ ಬಗ್ಗೆ ಕಾಮೆಂಟ್ ಮಾಡುತ್ತೇನೆ:
- ಇಂಟರ್ಸೆಪ್ಷನ್ ಪ್ರಾಕ್ಸಿ: ಈ ಸುರಕ್ಷತಾ ಕ್ಷೇತ್ರದಲ್ಲಿ ಹೊಸಬರಾಗಿರುವ ನಮಗೆ ಸೂಕ್ತವಾದದ್ದು, ಸರಿಯಾದ ರೀತಿಯಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ, ಇದು ಆ ಕ್ಷಣದ ಬ್ರೌಸರ್ ಮತ್ತು ವೆಬ್ ಸರ್ವರ್ ನಡುವಿನ ಎಲ್ಲಾ ದಟ್ಟಣೆಯನ್ನು ನೋಡಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ, ಇದು ಎಚ್ಟಿಟಿಪಿಯ ಶೀರ್ಷಿಕೆಗಳು ಮತ್ತು ದೇಹವನ್ನು ಸರಳ ರೀತಿಯಲ್ಲಿ ತೋರಿಸುತ್ತದೆ ಬಳಸಿದ ವಿಧಾನವನ್ನು ಲೆಕ್ಕಿಸದೆ ಸಂದೇಶಗಳು (HEAD, GET, POST, ಇತ್ಯಾದಿ). ಇದಲ್ಲದೆ ನಾವು ಮಾಡಬಹುದು ಸಂವಹನದ ಎರಡೂ ದಿಕ್ಕುಗಳಲ್ಲಿ (ವೆಬ್ ಸರ್ವರ್ ಮತ್ತು ಬ್ರೌಸರ್ ನಡುವೆ) ಇಚ್ at ೆಯಂತೆ HTTP ದಟ್ಟಣೆಯನ್ನು ಮಾರ್ಪಡಿಸಿ.
- ಜೇಡ: ಇದು ಆಡಿಟ್ ಮಾಡಲಾದ ಸೈಟ್ನಲ್ಲಿ ಹೊಸ URL ಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಸಹಾಯ ಮಾಡುವ ವೈಶಿಷ್ಟ್ಯವಾಗಿದೆ. ಟ್ಯಾಗ್ಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಪುಟದ HTML ಕೋಡ್ ಅನ್ನು ಪಾರ್ಸ್ ಮಾಡುವುದರ ಮೂಲಕ ಇದನ್ನು ಮಾಡುವ ಒಂದು ಮಾರ್ಗವಾಗಿದೆ. ಮತ್ತು ಅವರ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಅನುಸರಿಸಿ href.
- ಬಲವಂತದ ಬ್ರೌಸಿಂಗ್: ಲಾಗಿನ್ ಪುಟಗಳಂತಹ ಸೈಟ್ನಲ್ಲಿ ಸೂಚ್ಯಂಕರಹಿತ ಫೈಲ್ಗಳು ಮತ್ತು ಡೈರೆಕ್ಟರಿಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಪ್ರಯತ್ನಿಸಿ. ಇದನ್ನು ಸಾಧಿಸಲು, ಇದು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಘಂಟುಗಳ ಸರಣಿಯನ್ನು ಹೊಂದಿದ್ದು ಅದು ಕಾಯುವ ಸರ್ವರ್ಗೆ ವಿನಂತಿಗಳನ್ನು ಮಾಡಲು ಬಳಸುತ್ತದೆ ಸ್ಥಿತಿ ಕೋಡ್ ಪ್ರತಿಕ್ರಿಯೆ 200.
- ಸಕ್ರಿಯ ಸ್ಕ್ಯಾನ್: ಸಿಎಸ್ಆರ್ಎಫ್, ಎಕ್ಸ್ಎಸ್ಎಸ್, ಎಸ್ಕ್ಯುಎಲ್ ಇಂಜೆಕ್ಷನ್ನಂತಹ ಸೈಟ್ನ ವಿರುದ್ಧ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ವಿಭಿನ್ನ ವೆಬ್ ದಾಳಿಗಳನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ.
- ಮತ್ತು ಅನೇಕ ಇತರರು: ವಾಸ್ತವವಾಗಿ ಇನ್ನೂ ಅನೇಕ ವೈಶಿಷ್ಟ್ಯಗಳಿವೆ: ಆವೃತ್ತಿ 2.0.0, ಅಜಾಕ್ಸ್ ಸ್ಪೈಡರ್, ಫ uzz ರ್ ಮತ್ತು ಕೆಲವು ಇತರವುಗಳಿಂದ ವೆಬ್ ಸಾಕೆಟ್ಗಳಿಗೆ ಬೆಂಬಲ.
ಫೈರ್ಫಾಕ್ಸ್ನೊಂದಿಗೆ ಸಂರಚನೆ
ನಾವು ಹೋಗುತ್ತಿದ್ದರೆ ZAP ಕೇಳುವ ಸಾಕೆಟ್ ಅನ್ನು ನಾವು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು ಪರಿಕರಗಳು -> ಆಯ್ಕೆಗಳು -> ಸ್ಥಳೀಯ ಪ್ರಾಕ್ಸಿ. ನನ್ನ ವಿಷಯದಲ್ಲಿ ನಾನು ಅದನ್ನು ಪೋರ್ಟ್ 8018 ನಲ್ಲಿ ಕೇಳುತ್ತಿದ್ದೇನೆ:
ನಂತರ ನಾವು ಫೈರ್ಫಾಕ್ಸ್ ಆದ್ಯತೆಗಳನ್ನು ತೆರೆಯುತ್ತೇವೆ ಮತ್ತು ನಾವು ಮಾಡುತ್ತೇವೆ ಸುಧಾರಿತ -> ನೆಟ್ವರ್ಕ್ -> ಕಾನ್ಫಿಗರೇಶನ್ -> ಮ್ಯಾನುಯಲ್ ಪ್ರಾಕ್ಸಿ ಕಾನ್ಫಿಗರೇಶನ್. ನಾವು ಈ ಹಿಂದೆ ZAP ನಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ ಸಾಕೆಟ್ ಅನ್ನು ಸೂಚಿಸುತ್ತೇವೆ:
ಎಲ್ಲವೂ ಸರಿಯಾಗಿ ನಡೆದಿದ್ದರೆ, ನಾವು ನಮ್ಮ ಎಲ್ಲಾ ಎಚ್ಟಿಟಿಪಿ ದಟ್ಟಣೆಯನ್ನು ZAP ಗೆ ಕಳುಹಿಸುತ್ತೇವೆ ಮತ್ತು ಯಾವುದೇ ಪ್ರಾಕ್ಸಿ ಮಾಡುವಂತೆ ಅದನ್ನು ಮರುನಿರ್ದೇಶಿಸಲು ಇದು ಕಾಳಜಿ ವಹಿಸುತ್ತದೆ. ಉದಾಹರಣೆಯಾಗಿ, ನಾನು ಈ ಬ್ಲಾಗ್ ಅನ್ನು ಬ್ರೌಸರ್ನಿಂದ ನಮೂದಿಸುತ್ತೇನೆ ಮತ್ತು ZAP ನಲ್ಲಿ ಏನಾಗುತ್ತದೆ ಎಂದು ನೋಡುತ್ತೇನೆ:
ಪುಟವನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಲೋಡ್ ಮಾಡಲು 100 ಕ್ಕೂ ಹೆಚ್ಚು ಎಚ್ಟಿಟಿಪಿ ಸಂದೇಶಗಳನ್ನು (ಹೆಚ್ಚಿನವು ಜಿಇಟಿ ವಿಧಾನವನ್ನು ಬಳಸುತ್ತವೆ) ರಚಿಸಲಾಗಿದೆ ಎಂದು ನಾವು ನೋಡಬಹುದು. ನಾವು ಟ್ಯಾಬ್ನಲ್ಲಿ ನೋಡುವಂತೆ ಸೈಟ್ಗಳು ಈ ಬ್ಲಾಗ್ಗೆ ದಟ್ಟಣೆಯನ್ನು ಮಾತ್ರವಲ್ಲ, ಇತರ ಪುಟಗಳಿಗೂ ರಚಿಸಲಾಗಿದೆ. ಅವುಗಳಲ್ಲಿ ಒಂದು ಫೇಸ್ಬುಕ್ ಮತ್ತು ಇದು ಪುಟದ ಕೆಳಭಾಗದಲ್ಲಿರುವ ಸಾಮಾಜಿಕ ಪ್ಲಗಿನ್ನಿಂದ ಉತ್ಪತ್ತಿಯಾಗುತ್ತದೆ «ಫೇಸ್ಬುಕ್ನಲ್ಲಿ ನಮ್ಮನ್ನು ಅನುಸರಿಸಿ ". ಸಹ ಮಾಡಿದರು ಗೂಗಲ್ ಅನಾಲಿಟಿಕ್ಸ್ ಇದು ಸೈಟ್ನ ನಿರ್ವಾಹಕರು ಈ ಬ್ಲಾಗ್ನ ಅಂಕಿಅಂಶಗಳ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ದೃಶ್ಯೀಕರಣಕ್ಕಾಗಿ ಹೇಳಿದ ಉಪಕರಣದ ಉಪಸ್ಥಿತಿಯನ್ನು ಸೂಚಿಸುತ್ತದೆ.
ವಿನಿಮಯವಾದ ಪ್ರತಿಯೊಂದು ಎಚ್ಟಿಟಿಪಿ ಸಂದೇಶಗಳನ್ನು ಸಹ ನಾವು ವಿವರವಾಗಿ ಗಮನಿಸಬಹುದು, ನಾನು ವಿಳಾಸವನ್ನು ನಮೂದಿಸಿದಾಗ ಈ ಬ್ಲಾಗ್ನ ವೆಬ್ ಸರ್ವರ್ನಿಂದ ಉತ್ಪತ್ತಿಯಾದ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ನೋಡೋಣ http://desdelinux.net ಆಯಾ HTTP GET ವಿನಂತಿಯನ್ನು ಆರಿಸುವುದು:
ನಾವು ಗಮನಿಸುತ್ತೇವೆ ಎ ಸ್ಥಿತಿ ಕೋಡ್ 301, ಇದು ಮರುನಿರ್ದೇಶನವನ್ನು ಸೂಚಿಸುತ್ತದೆ https://blog.desdelinux.net/.
ZAP ಇದಕ್ಕೆ ಅತ್ಯುತ್ತಮವಾದ ಸಂಪೂರ್ಣ ಉಚಿತ ಪರ್ಯಾಯವಾಗುತ್ತದೆ ಬರ್ಪ್ಸೂಟ್ ವೆಬ್ ಭದ್ರತೆಯ ಈ ರೋಮಾಂಚಕಾರಿ ಜಗತ್ತಿನಲ್ಲಿ ಪ್ರಾರಂಭವಾಗುವ ನಮ್ಮಲ್ಲಿ, ವಿಭಿನ್ನ ವೆಬ್ ಹ್ಯಾಕಿಂಗ್ ತಂತ್ರಗಳನ್ನು ಕಲಿಯಲು ನಾವು ಈ ಉಪಕರಣದ ಮುಂಚೂಣಿಯಲ್ಲಿ ಗಂಟೆಗಟ್ಟಲೆ ಕಳೆಯುತ್ತೇವೆ, ನಾನು ಕೆಲವನ್ನು ಒಯ್ಯುತ್ತೇನೆ. ಡಾ
ಅದು ನಾನು ಮಾಡಬೇಕಾಗಿರುವುದು, ಹೆಚ್ಚಾಗಿ ನಾನು ಏನು ಮಾಡುತ್ತೇನೆಂದು ಸಾಬೀತುಪಡಿಸಲು.
ಇದು ಸಾಕಷ್ಟು ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ
ಈ ಸಾಧನವು ಮೈಕ್ರೋಸಾಫ್ಟ್ ನೆಟ್ವರ್ಕ್ ಮಾನಿಟರ್ಗಿಂತ ಹೆಚ್ಚು ಪೂರ್ಣವಾಗಿ ಕಾಣುತ್ತದೆ. ಕೊಡುಗೆಯನ್ನು ಪ್ರಶಂಸಿಸಲಾಗಿದೆ.
ಅತ್ಯುತ್ತಮ, ಮಾಹಿತಿ ಮತ್ತು ವಿವರಣೆಗೆ ತುಂಬಾ ಧನ್ಯವಾದಗಳು.
ಗ್ರೀಟಿಂಗ್ಸ್.
IMHO, ಈ ಸಾಧನಗಳನ್ನು ಭದ್ರತಾ ವ್ಯಾಪ್ತಿಗಳಿಗಾಗಿ ಬಿಡಬೇಕು ಮತ್ತು ಲಿನಕ್ಸ್ ಬ್ಲಾಗ್ನಲ್ಲಿ ಪ್ರಕಟಿಸಬಾರದು ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ. ಬೇಜವಾಬ್ದಾರಿಯಿಂದ ಅಥವಾ ಅರಿವಿಲ್ಲದೆ ಅದನ್ನು ಬಳಸಬಹುದಾದ ಜನರಿದ್ದಾರೆ.
ಉಪಕರಣಗಳು ಯಾವಾಗಲೂ ದ್ವಿಮುಖದ ಸಾಧನಗಳಾಗಿರುತ್ತವೆ, ಏಕೆಂದರೆ ಅವುಗಳನ್ನು ಒಳ್ಳೆಯದು ಮತ್ತು ಕೆಟ್ಟದು ಬಳಸುತ್ತದೆ, ದುರದೃಷ್ಟವಶಾತ್ ಅದನ್ನು ತಪ್ಪಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ. OWASP ZAP ಎನ್ನುವುದು ವೆಬ್ ಭದ್ರತಾ ಕ್ಷೇತ್ರದಲ್ಲಿ ಇಹೆಚ್ ಸಮುದಾಯದಿಂದ ಗುರುತಿಸಲ್ಪಟ್ಟ ಒಂದು ಸಾಧನವಾಗಿದೆ ಮತ್ತು ಇದನ್ನು ವೆಬ್ ಲೆಕ್ಕಪರಿಶೋಧನೆಗೆ ಬಳಸಲಾಗುತ್ತದೆ. ನೆನಪಿಡಿ, "ದೊಡ್ಡ ಶಕ್ತಿಯಿಂದ ದೊಡ್ಡ ಜವಾಬ್ದಾರಿ ಬರುತ್ತದೆ."
ನಾನು ಈ ಪೋಸ್ಟ್ ಅನ್ನು ಪ್ರಕಟಿಸಿದ್ದೇನೆ ಏಕೆಂದರೆ ಭವಿಷ್ಯದಲ್ಲಿ ಎಚ್ಡಿ ಸೇವೆಗಳನ್ನು ನೀಡಲು ನಾನು ಸ್ವಯಂ-ಕಲಿಸುತ್ತಿದ್ದೇನೆ ಮತ್ತು ಅದು ಇತರ ಓದುಗರಿಗೆ ಆಸಕ್ತಿಯಿರುತ್ತದೆ ಎಂದು ನಾನು ಭಾವಿಸಿದೆ. ಅಂತ್ಯವೆಂದರೆ ಅವರು ಅದನ್ನು ಅಕ್ರಮವಾಗಿ ಬಳಸುತ್ತಾರೆ, ಹೆಚ್ಚು ಕಡಿಮೆ, ಆದ್ದರಿಂದ ಪೋಸ್ಟ್ನ ಆರಂಭದಲ್ಲಿ ಎಚ್ಚರಿಕೆ.
ಶುಭಾಶಯಗಳು!
ಪಿಡಿ 1 ->: ಅದು ಅನುಮಾನಾಸ್ಪದ: ರಾಕ್ಷಸ ಪತ್ತೆಯಾಗಿದೆ? ನನಗೆ ಅನುಮಾನವಿದೆ….
ಪಿಡಿ 2 -> ha ಹಾಹಾ ದಯವಿಟ್ಟು ಇದು ಇತರ ಪೋಸ್ಟ್ಗಳಂತೆ ಇಲ್ಲಿಂದ ಕೆಳಗಿನಿಂದ ಜ್ವಾಲೆಯ ಯುದ್ಧವಾಗಲು ಬಿಡಬೇಡಿ.