Proxy de ataque OWASP Zed

El Proxy de Ataque Zed (ZAP) é uma ferramenta gratuita escrita em Java vindo de Projeto OWASP para realizar, em primeiro lugar, testes de penetração em aplicações web, embora também possa ser utilizado por programadores no seu trabalho diário. A partir de hoje está em sua versão 2.1.0 e precisa Java 7 para correr, embora eu o use em Debian GNU / Linux baixo OpenJDK 7. Para aqueles de nós que estão começando no mundo da segurança de aplicativos da web, é uma excelente ferramenta para aprimorar nossas habilidades.

Entre as muitas características do ZAP, Comentarei o seguinte:

• Proxy de interceptação: Ideal para quem é novato nesta área da segurança, configurado da forma correta, permite ver todo o tráfego entre o navegador e o servidor web do momento, mostrando de forma simples os cabeçalhos e corpo do HTTP mensagens independentemente do método usado (HEAD, GET, POST, etc). Além disso, podemos modifique o tráfego HTTP à vontade em ambas as direções de comunicação (entre o servidor da web e o navegador).
• Aranha: É um recurso que ajuda a descobrir novos URLs no site auditado. Uma das maneiras de fazer isso é analisando o código HTML da página para descobrir tags. e seguir seus atributos hr.
• Navegação forçada: Tente descobrir arquivos e diretórios não indexados no site, como páginas de login. Para o conseguir, tem por defeito uma série de dicionários que usará para fazer pedidos ao servidor em espera código de status resposta 200.
• Varredura ativa: Gera automaticamente diferentes ataques web contra o site como CSRF, XSS, SQL Injection entre outros.
• E muitos outros: Na verdade, existem muitos outros recursos, como: Suporte para web sockets da versão 2.0.0, AJAX Spider, Fuzzer e alguns outros.

Configuração com Firefox

Podemos configurar o soquete através do qual o ZAP estará ouvindo se formos Ferramentas -> Opções -> Proxy local. No meu caso, ele está escutando na porta 8018:

Configuração «Proxy local»

Em seguida, abrimos as preferências do Firefox e iremos Avançado -> Rede -> Configuração -> Configuração manual do proxy. Indicamos o soquete que configuramos anteriormente no ZAP:

Configure o proxy no Firefox

Se tudo correr bem, enviaremos todo o nosso tráfego HTTP para o ZAP e ele se encarregará de redirecioná-lo como qualquer proxy faria. Por exemplo, entro neste blog pelo navegador e vejo o que acontece no ZAP:

Visão geral do ZAP

Podemos ver que mais de 100 mensagens HTTP foram geradas (a maioria usando o método GET) para carregar totalmente a página. Como vemos na guia Locais Não apenas o tráfego foi gerado para este blog, mas também para outras páginas. Um deles é o Facebook e é gerado pelo plugin social na parte inferior da página «Siga-nos no Facebook". Também fez Google Analytics o que indica a presença da referida ferramenta para a análise e visualização das estatísticas deste blog pelos administradores do site.

Também podemos observar detalhadamente cada uma das mensagens HTTP trocadas, vamos ver a resposta que foi gerada pelo servidor web deste blog quando introduzi o endereço http://desdelinux.net escolhendo sua respectiva solicitação HTTP GET:

Detalhe da mensagem HTTP

Notamos que um código de status 301, que indica um redirecionamento direcionado para https://blog.desdelinux.net/.

ZAP torna-se uma excelente alternativa totalmente gratuita para Suíte Arroto Para aqueles de nós que estão começando neste mundo emocionante de segurança na web, certamente passaremos horas e horas na vanguarda desta ferramenta aprendendo diferentes técnicas de hacking na web, Eu carrego alguns. 