Serwer proxy ataku Zeda OWASP

El Pełnomocnik ataku Zedów (ZAP) to darmowe narzędzie napisane w Java pochodzące z Projekt OWASP do przeprowadzania w pierwszej kolejności testów penetracyjnych w aplikacjach webowych, choć może być również wykorzystywany przez programistów w ich codziennej pracy. Na dzień dzisiejszy jest w wersji 2.1.0 i wymaga Java 7 uruchomić, chociaż używam go w Debian GNU / Linux niski OpenJDK 7. Dla tych z nas, którzy zaczynają w świecie bezpieczeństwa aplikacji internetowych, jest to doskonałe narzędzie do szlifowania naszych umiejętności.

Niektóre funkcje (na przykład Aktywne skanowanie) z Serwer proxy ZAP Nie należy ich używać przeciwko stronom, które nie należą do nas lub na które nie mamy wcześniejszej zgody, ponieważ mogą zostać uznane za działania nielegalne

Wśród wielu funkcji ZAPSkomentuję co następuje:

  • Serwer proxy przechwytywania: Idealny dla tych z nas, którzy są nowicjuszami w tej dziedzinie bezpieczeństwa, odpowiednio skonfigurowany, pozwala zobaczyć cały ruch między przeglądarką a serwerem WWW w danej chwili, pokazując w prosty sposób nagłówki i treść wiadomości HTTP niezależnie od zastosowana metoda (HEAD, GET, POST itp.). Ponadto możemy dowolnie modyfikować ruch HTTP w obu kierunkach komunikacji (między serwerem WWW a przeglądarką).
  • Pająk: Jest to funkcja, która pomaga odkrywać nowe adresy URL w kontrolowanej witrynie. Jednym ze sposobów jest analizowanie kodu HTML strony w celu wykrycia tagów i podążaj za ich atrybutami href.
  • Wymuszone przeglądanie: Próbuje wykryć nieindeksowane pliki i katalogi w witrynie, takie jak strony logowania. Aby to osiągnąć, ma domyślnie szereg słowników, których będzie używać do wysyłania żądań do oczekującego serwera kod statusu odpowiedź 200.
  • Aktywne skanowanie: Automatycznie generuje różne ataki internetowe na witrynę, takie jak między innymi CSRF, XSS, SQL Injection.
  • I wiele innych: W rzeczywistości istnieje wiele innych funkcji, takich jak: obsługa gniazd sieciowych od wersji 2.0.0, AJAX Spider, Fuzzer i kilka innych.

Konfiguracja z przeglądarką Firefox

Możemy skonfigurować gniazdo, przez które będzie nasłuchiwał ZAP, jeśli mamy zamiar to zrobić Narzędzia -> Opcje -> Lokalny serwer proxy. W moim przypadku nasłuchuje na porcie 8018:

Konfiguracja „lokalnego serwera proxy”

Konfiguracja «Lokalny serwer proxy»

Następnie otwieramy preferencje Firefoksa i to zrobimy Zaawansowane -> Sieć -> Konfiguracja -> Ręczna konfiguracja proxy. Wskazujemy gniazdo, które wcześniej skonfigurowaliśmy w ZAP:

Skonfiguruj proxy w przeglądarce Firefox

Skonfiguruj proxy w przeglądarce Firefox

Jeśli wszystko pójdzie dobrze, wyślemy cały nasz ruch HTTP do ZAP i przekierujemy go tak, jak zrobiłby to każdy serwer proxy. Jako przykład wchodzę na tego bloga z przeglądarki i widzę co się dzieje w ZAP:

Przegląd ZAP

Przegląd ZAP

Widzimy, że w celu pełnego załadowania strony wygenerowano ponad 100 komunikatów HTTP (większość z wykorzystaniem metody GET). Jak widzimy w zakładce Witryny Ruch został wygenerowany nie tylko na tym blogu, ale także na innych stronach. Jednym z nich jest Facebook i jest generowany przez wtyczkę społecznościową na dole strony «Śledź nas na facebooku". Też Google Analytics co wskazuje na obecność wspomnianego narzędzia do analizy i wizualizacji statystyk tego bloga przez administratorów serwisu.

Możemy też szczegółowo obserwować każdą z wymienianych wiadomości HTTP, zobaczmy odpowiedź jaką wygenerował serwer WWW tego bloga gdy wpisałem adres http://desdelinux.net wybierając odpowiednie żądanie HTTP GET:

Szczegóły wiadomości HTTP

Szczegóły wiadomości HTTP

Zauważamy, że a kod statusu 301, co wskazuje na przekierowanie skierowane do https://blog.desdelinux.net/.

ZAP staje się doskonałą, całkowicie darmową alternatywą dla Burp Suite Ci z nas, którzy dopiero zaczynają przygodę z tym ekscytującym światem bezpieczeństwa sieciowego, z pewnością spędzą wiele godzin przed tym narzędziem, ucząc się różnych technik hakowania sieci, Noszę kilka. 😛.


5 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   nano powiedział

    To jest coś, co muszę zrobić, głównie po to, aby udowodnić, co robię.

    To całkiem interesujące

  2.   Eliotime3000 powiedział

    To narzędzie wygląda na znacznie bardziej kompletne niż Microsoft Network Monitor. Wkład jest doceniany.

  3.   Krytyk powiedział

    Świetnie, bardzo dziękuję za informacje i wyjaśnienia.
    Pozdrowienia.

  4.   xavip powiedział

    IMHO, myślę, że te narzędzia powinny być pozostawione dla zakresów bezpieczeństwa i nie publikować ich na blogu linuxowym. Są ludzie, którzy mogą z niego korzystać nieodpowiedzialnie lub nieświadomie.

    1.    Pablox powiedział

      Narzędzia zawsze będą narzędziami obosiecznymi, ponieważ są używane przez dobrych i złych, niestety nie można tego uniknąć. OWASP ZAP jest uznanym przez społeczność EH narzędziem z zakresu bezpieczeństwa sieci i służy do przeprowadzania audytów internetowych. Pamiętaj: „Z wielką mocą wiąże się wielka odpowiedzialność”.

      Opublikowałem ten wpis, ponieważ studiuję samouk, aby w przyszłości oferować usługi HD i pomyślałem, że może zainteresować innych czytelników. Nie koniec na tym, że używają go nielegalnie, a tym bardziej, stąd ostrzeżenie na początku wpisu.

      Pozdrowienia!

      PD1 ->: to podejrzane: wykryto trolla? Mam wątpliwości…
      PD2 -> Jhahaha Proszę, nie zamieniajcie tego w wojnę ognia stąd, jak w innych postach.