El Pełnomocnik ataku Zedów (ZAP) to darmowe narzędzie napisane w Java pochodzące z Projekt OWASP do przeprowadzania w pierwszej kolejności testów penetracyjnych w aplikacjach webowych, choć może być również wykorzystywany przez programistów w ich codziennej pracy. Na dzień dzisiejszy jest w wersji 2.1.0 i wymaga Java 7 uruchomić, chociaż używam go w Debian GNU / Linux niski OpenJDK 7. Dla tych z nas, którzy zaczynają w świecie bezpieczeństwa aplikacji internetowych, jest to doskonałe narzędzie do szlifowania naszych umiejętności.
Wśród wielu funkcji ZAPSkomentuję co następuje:
- Serwer proxy przechwytywania: Idealny dla tych z nas, którzy są nowicjuszami w tej dziedzinie bezpieczeństwa, odpowiednio skonfigurowany, pozwala zobaczyć cały ruch między przeglądarką a serwerem WWW w danej chwili, pokazując w prosty sposób nagłówki i treść wiadomości HTTP niezależnie od zastosowana metoda (HEAD, GET, POST itp.). Ponadto możemy dowolnie modyfikować ruch HTTP w obu kierunkach komunikacji (między serwerem WWW a przeglądarką).
- Pająk: Jest to funkcja, która pomaga odkrywać nowe adresy URL w kontrolowanej witrynie. Jednym ze sposobów jest analizowanie kodu HTML strony w celu wykrycia tagów i podążaj za ich atrybutami href.
- Wymuszone przeglądanie: Próbuje wykryć nieindeksowane pliki i katalogi w witrynie, takie jak strony logowania. Aby to osiągnąć, ma domyślnie szereg słowników, których będzie używać do wysyłania żądań do oczekującego serwera kod statusu odpowiedź 200.
- Aktywne skanowanie: Automatycznie generuje różne ataki internetowe na witrynę, takie jak między innymi CSRF, XSS, SQL Injection.
- I wiele innych: W rzeczywistości istnieje wiele innych funkcji, takich jak: obsługa gniazd sieciowych od wersji 2.0.0, AJAX Spider, Fuzzer i kilka innych.
Konfiguracja z przeglądarką Firefox
Możemy skonfigurować gniazdo, przez które będzie nasłuchiwał ZAP, jeśli mamy zamiar to zrobić Narzędzia -> Opcje -> Lokalny serwer proxy. W moim przypadku nasłuchuje na porcie 8018:
Następnie otwieramy preferencje Firefoksa i to zrobimy Zaawansowane -> Sieć -> Konfiguracja -> Ręczna konfiguracja proxy. Wskazujemy gniazdo, które wcześniej skonfigurowaliśmy w ZAP:
Jeśli wszystko pójdzie dobrze, wyślemy cały nasz ruch HTTP do ZAP i przekierujemy go tak, jak zrobiłby to każdy serwer proxy. Jako przykład wchodzę na tego bloga z przeglądarki i widzę co się dzieje w ZAP:
Widzimy, że w celu pełnego załadowania strony wygenerowano ponad 100 komunikatów HTTP (większość z wykorzystaniem metody GET). Jak widzimy w zakładce Witryny Ruch został wygenerowany nie tylko na tym blogu, ale także na innych stronach. Jednym z nich jest Facebook i jest generowany przez wtyczkę społecznościową na dole strony «Śledź nas na facebooku". Też Google Analytics co wskazuje na obecność wspomnianego narzędzia do analizy i wizualizacji statystyk tego bloga przez administratorów serwisu.
Możemy też szczegółowo obserwować każdą z wymienianych wiadomości HTTP, zobaczmy odpowiedź jaką wygenerował serwer WWW tego bloga gdy wpisałem adres http://desdelinux.net wybierając odpowiednie żądanie HTTP GET:
Zauważamy, że a kod statusu 301, co wskazuje na przekierowanie skierowane do https://blog.desdelinux.net/.
ZAP staje się doskonałą, całkowicie darmową alternatywą dla Burp Suite Ci z nas, którzy dopiero zaczynają przygodę z tym ekscytującym światem bezpieczeństwa sieciowego, z pewnością spędzą wiele godzin przed tym narzędziem, ucząc się różnych technik hakowania sieci, Noszę kilka. 😛.
To jest coś, co muszę zrobić, głównie po to, aby udowodnić, co robię.
To całkiem interesujące
To narzędzie wygląda na znacznie bardziej kompletne niż Microsoft Network Monitor. Wkład jest doceniany.
Świetnie, bardzo dziękuję za informacje i wyjaśnienia.
Pozdrowienia.
IMHO, myślę, że te narzędzia powinny być pozostawione dla zakresów bezpieczeństwa i nie publikować ich na blogu linuxowym. Są ludzie, którzy mogą z niego korzystać nieodpowiedzialnie lub nieświadomie.
Narzędzia zawsze będą narzędziami obosiecznymi, ponieważ są używane przez dobrych i złych, niestety nie można tego uniknąć. OWASP ZAP jest uznanym przez społeczność EH narzędziem z zakresu bezpieczeństwa sieci i służy do przeprowadzania audytów internetowych. Pamiętaj: „Z wielką mocą wiąże się wielka odpowiedzialność”.
Opublikowałem ten wpis, ponieważ studiuję samouk, aby w przyszłości oferować usługi HD i pomyślałem, że może zainteresować innych czytelników. Nie koniec na tym, że używają go nielegalnie, a tym bardziej, stąd ostrzeżenie na początku wpisu.
Pozdrowienia!
PD1 ->: to podejrzane: wykryto trolla? Mam wątpliwości…
PD2 -> Jhahaha Proszę, nie zamieniajcie tego w wojnę ognia stąd, jak w innych postach.