Proxy server OWASP Zed Attack

El Server Zed Attack Proxy (ZAP) je bezplatný nástroj napísaný v Jáva prichádzajúce z Projekt OWASP vykonať v prvom rade penetračné testy vo webových aplikáciách, hoci ho môžu vývojári použiť aj pri svojej každodennej práci. Od dnešného dňa je vo svojej verzii 2.1.0 a potrebuje Java 7 spustiť, aj keď to používam v Debian GNU / Linux Bajo OpenJDK 7. Pre tých z nás, ktorí začínajú vo svete zabezpečenia webových aplikácií, je to vynikajúci nástroj na zdokonalenie našich schopností.

Medzi mnohými vlastnosťami ZAP, Vyjadrím sa k nasledujúcemu:

• Server proxy pre odpočúvanie: Ideálne pre tých z nás, ktorí sú nováčikmi v tejto oblasti bezpečnosti a sú nakonfigurovaní správnym spôsobom. Umožňuje zobraziť všetku komunikáciu medzi aktuálnym prehliadačom a webovým serverom a jednoduchým spôsobom zobraziť hlavičky a text protokolu HTTP. správy bez ohľadu na použitú metódu (HEAD, GET, POST atď.). Okrem toho môžeme ľubovoľne upravovať prenos HTTP v oboch smeroch komunikácie (medzi webovým serverom a prehliadačom).
• Pavúk: Je to funkcia, ktorá pomáha objavovať nové adresy URL na kontrolovanom webe. Jedným zo spôsobov, ako to dosiahnuť, je analýza kódu HTML stránky, aby sa našli značky. a riadiť sa ich atribútmi href.
• Nútené prehliadanie: Pokúša sa na serveri vyhľadať neindexované súbory a adresáre, napríklad prihlasovacie stránky. Aby to dosiahlo, má štandardne sériu slovníkov, ktoré použije na zadávanie požiadaviek čakajúcemu serveru stavový kód odpoveď 200.
• Aktívne skenovanie: Automaticky generuje rôzne webové útoky proti stránkam, napríklad CSRF, XSS, SQL Injection.
• A veľa ďalších: V skutočnosti existuje veľa ďalších funkcií, ako napríklad: Podpora webových zásuviek od verzie 2.0.0, AJAX Spider, Fuzzer a niekoľko ďalších.

Konfigurácia pomocou prehliadača Firefox

Môžeme nakonfigurovať soket, cez ktorý bude ZAP počúvať, ak sa chystáme Nástroje -> Možnosti -> Lokálny server proxy. V mojom prípade ho počúvam na porte 8018:

Konfigurácia «Lokálny proxy»

Potom otvoríme predvoľby prehliadača Firefox a urobíme to Pokročilé -> Sieť -> Konfigurácia -> Ručná konfigurácia servera proxy. Označujeme soket, ktorý sme predtým nakonfigurovali v ZAP:

Nakonfigurujte proxy v prehliadači Firefox

Ak všetko prebehlo dobre, pošleme všetku našu komunikáciu HTTP na ZAP a postaráme sa o jej presmerovanie tak, ako by to urobil akýkoľvek server proxy. Ako príklad zadám tento blog z prehliadača a pozrime sa, čo sa stane v ZAP:

Prehľad ZAP

Vidíme, že na úplné načítanie stránky bolo vygenerovaných viac ako 100 správ HTTP (väčšina používajúcich metódu GET). Ako vidíme na karte Miesta Generovala sa nielen prevádzka na tento blog, ale aj na ďalšie stránky. Jedným z nich je Facebook a je generovaný sociálnym doplnkom v dolnej časti stránky «Sledujte nás na Facebooku “. Tiež urobil Google Analytics čo naznačuje prítomnosť uvedeného nástroja na analýzu a vizualizáciu štatistík tohto blogu správcami stránky.

Môžeme tiež podrobne sledovať každú z vymenených správ HTTP, pozrime sa na odpoveď, ktorú vygeneroval webový server tohto blogu, keď som zadal adresu http://desdelinux.net výber príslušnej požiadavky HTTP GET:

Podrobnosti správy HTTP

Poznamenávame, že a stavový kód 301, čo naznačuje presmerovanie, ktoré smeruje k https://blog.desdelinux.net/.

ZAP sa stáva vynikajúcou úplne bezplatnou alternatívou k Suita Burp Pre tých z nás, ktorí začínajú v tomto vzrušujúcom svete zabezpečenia webu, určite strávime hodiny a hodiny pred týmto nástrojom učením sa rôznych techník hackovania webu, Niekoľko ich nosím. 😛