OWASP Zed 공격 프록시

El ZAP (Zed Attack Proxy) 작성된 무료 도구입니다 자바 에서 오는 OWASP 프로젝트 첫 번째 경우 웹 애플리케이션에서 침투 테스트를 수행하기 위해 개발자가 일상 작업에서 사용할 수도 있습니다. 오늘 현재 2.1.0 버전이며 자바 7 나는 그것을 사용하지만 데비안 GNU / 리눅스 bajo OpenJDK 7. 웹 애플리케이션 보안 세계에서 시작하는 우리에게는 기술을 연마 할 수있는 훌륭한 도구입니다.

의 많은 기능 중 ZAP, 나는 다음에 대해 언급 할 것입니다.

• 차단 프록시 : 올바른 방식으로 구성된이 보안 분야의 초보자 인 우리에게 이상적이며, 현재 브라우저와 웹 서버 간의 모든 트래픽을 볼 수 있으며, HTTP 메시지의 헤더와 본문을 간단하게 보여줍니다. 사용 된 방법 (HEAD, GET, POST 등). 또한 우리는 양방향 통신 (웹 서버와 브라우저 간)으로 HTTP 트래픽을 마음대로 수정합니다.
• 거미: 감사 된 사이트에서 새 URL을 발견하는 데 도움이되는 기능입니다. 이를 수행하는 방법 중 하나는 페이지의 HTML 코드를 파싱하여 태그를 찾는 것입니다. 그들의 속성을 따르십시오 .href.
• 강제 브라우징 : 로그인 페이지와 같은 사이트에서 색인화되지 않은 파일 및 디렉토리를 검색합니다. 이를 달성하기 위해 기본적으로 대기 서버에 요청하는 데 사용할 일련의 사전이 있습니다. 상태 코드 응답 200.
• 활성 스캔 : CSRF, XSS, SQL Injection과 같은 사이트에 대한 다양한 웹 공격을 자동으로 생성합니다.
• 그리고 많은 다른 사람들: 실제로 버전 2.0.0, AJAX Spider, Fuzzer 및 기타 몇 가지 웹 소켓 지원과 같은 다른 많은 기능이 있습니다.

Firefox로 구성

ZAP가 수신 할 소켓을 구성 할 수 있습니다. 도구-> 옵션-> 로컬 프록시. 제 경우에는 포트 8018에서 수신 대기합니다.

구성«로컬 프록시»

그런 다음 Firefox 기본 설정을 열고 고급-> 네트워크-> 구성-> 수동 프록시 구성. 이전에 ZAP에서 구성한 소켓을 나타냅니다.

Firefox에서 프록시 구성

모든 것이 순조롭게 진행 되었다면 모든 HTTP 트래픽을 ZAP로 보내고 이것은 프록시처럼 리디렉션을 처리 할 것입니다. 예를 들어, 브라우저에서이 블로그에 들어가 ZAP에서 어떤 일이 발생하는지 확인합니다.

ZAP 개요

페이지를 완전히로드하기 위해 100 개가 넘는 HTTP 메시지가 생성 된 것을 볼 수 있습니다 (대부분 GET 메서드 사용). 탭에서 볼 수 있듯이 사이트 이 블로그뿐만 아니라 다른 페이지에도 트래픽이 발생했습니다. 그중 하나는 Facebook이며 페이지 하단의 소셜 플러그인에 의해 생성됩니다«페이스 북으로 우릴 팔로우 해". 또한했다 Google Analytics 이는 사이트 관리자가이 블로그의 통계를 분석하고 시각화하는 도구가 있음을 나타냅니다.

또한 교환되는 각 HTTP 메시지를 자세히 관찰 할 수 있습니다. 주소를 입력했을 때이 블로그의 웹 서버에서 생성 된 응답을 살펴 보겠습니다. http://desdelinux.net 각각의 HTTP GET 요청 선택 :

HTTP 메시지 세부 사항

우리는 상태 코드 301은 다음으로 향하는 리디렉션을 나타냅니다. https://blog.desdelinux.net/.

ZAP 완벽한 무료 대안이됩니다. 버프 스위트 이 흥미 진진한 웹 보안 세계에서 시작하는 우리에게는이 도구 앞에서 다양한 웹 해킹 기술을 배우는 데 몇 시간과 몇 시간을 보낼 것입니다. 나는 몇 가지를 가지고. 😛