El Zed Attack Proxy (ZAP) este un instrument gratuit scris în Java provin de la Proiect OWASP să efectueze, în primă instanță, teste de penetrare în aplicații web, deși poate fi folosit și de dezvoltatori în activitatea lor zilnică. Începând de astăzi, este în versiunea 2.1.0 și are nevoie Java 7 să rulez, deși îl folosesc în Debian GNU / Linux Bajo OpenJDK 7. Pentru cei dintre noi care începem în lumea securității aplicațiilor web, este un instrument excelent pentru a ne lustrui abilitățile.
Printre numeroasele caracteristici ale ZAP, Voi comenta următoarele:
- Proxy de interceptare: Ideal pentru cei dintre noi care suntem începători în acest domeniu al securității, configurat în mod corect, permite să vedem tot traficul dintre browser și serverul web al momentului, arătând într-un mod simplu anteturile și corpul mesajelor HTTP indiferent de metoda utilizată (HEAD, GET, POST etc.). În plus, putem modificați traficul HTTP după bunul plac în ambele direcții de comunicare (între serverul web și browser).
- Păianjen: Este o caracteristică care ajută la descoperirea de adrese URL noi pe site-ul auditat. Unul dintre modurile în care face acest lucru este analizarea codului HTML al paginii pentru a descoperi etichete. și urmează-le atributele href.
- Navigare forțată: Încearcă să descopere fișiere și directoare neindexate pe site, cum ar fi paginile de autentificare. Pentru a realiza acest lucru, are în mod implicit o serie de dicționare pe care le va folosi pentru a face cereri către serverul de așteptare cod de stare răspuns 200.
- Scanare activă: Generează automat diferite atacuri web împotriva site-ului, cum ar fi CSRF, XSS, SQL Injection, printre altele.
- Și multe altele: De fapt, există multe alte caracteristici, cum ar fi: Suport pentru prize web de la versiunea 2.0.0, AJAX Spider, Fuzzer și câteva altele.
Configurare cu Firefox
Putem configura socketul prin care ZAP va asculta dacă vrem Instrumente -> Opțiuni -> Proxy local. În cazul meu, îl ascult pe portul 8018:
Configurare «proxy local»
Apoi deschidem preferințele Firefox și o vom face Avansat -> Rețea -> Configurare -> Configurare manuală a proxy-ului. Vă indicăm socket-ul pe care l-am configurat anterior în ZAP:
Configurați proxy în Firefox
Dacă totul a decurs bine, vom trimite tot traficul nostru HTTP către ZAP și va fi responsabil de redirecționarea acestuia așa cum ar face orice proxy. De exemplu, intru pe acest blog din browser și văd ce se întâmplă în ZAP:
Putem vedea că au fost generate peste 100 de mesaje HTTP (majoritatea folosind metoda GET) pentru a încărca complet pagina. După cum vedem în filă Centre de cercetare Nu numai că a fost generat trafic către acest blog, ci și către alte pagini. Unul dintre ele este Facebook și este generat de pluginul social din partea de jos a paginii «Urmariți-ne pe Facebook". De asemenea, a făcut-o Google Analytics care indică prezența instrumentului menționat pentru analiza și vizualizarea statisticilor acestui blog de către administratorii site-ului.
De asemenea, putem observa în detaliu fiecare dintre mesajele HTTP schimbate, să vedem răspunsul generat de serverul web al acestui blog când am introdus adresa http://desdelinux.net alegerea cererii HTTP GET respective:
Detaliu mesaj HTTP
Observăm că a cod de stare 301, care indică o redirecționare care este direcționată către https://blog.desdelinux.net/.
ZAP devine o alternativă excelentă complet gratuită la Burp Suite Pentru cei dintre noi care începem în această lume interesantă a securității web, cu siguranță vom petrece ore și ore în fruntea acestui instrument, învățând diferite tehnici de hacking web, Am câteva.