El Zed Attack Proxy (ZAP) je brezplačno orodje, napisano v jeziku Java prihajajo iz Projekt OWASP za izvajanje preizkusov penetracije v spletnih aplikacijah, čeprav jih lahko razvijalci uporabljajo tudi pri vsakodnevnem delu. Od danes je v različici 2.1.0 in potrebuje Java 7 za zagon, čeprav ga uporabljam v Debian GNU / Linux pod OpenJDK 7. Za tiste, ki se začenjamo ukvarjati s svetom varnosti spletnih aplikacij, je to odlično orodje za izboljšanje naših veščin.
Med številnimi značilnostmi ZAP, Komentiral bom naslednje:
- Proxy za prestrezanje: Idealno za tiste, ki smo začetniki na tem področju varnosti, konfigurirani na pravilen način, omogoča ogled celotnega prometa med trenutnim brskalnikom in spletnim strežnikom ter na enostaven način prikazuje glave in telo sporočil HTTP, ne glede na uporabljena metoda (HEAD, GET, POST itd.). Poleg tega lahko spremenite promet HTTP po želji v obe smeri komunikacije (med spletnim strežnikom in brskalnikom).
- Pajek: To je funkcija, ki pomaga odkriti nove URL-je na revidiranem spletnem mestu. Eden od načinov, kako to stori, je razčlenjevanje kode HTML strani za odkrivanje oznak. in sledite njihovim lastnostim href.
- Prisilno brskanje: Poskuša odkriti neindeksirane datoteke in imenike na spletnem mestu, kot so strani za prijavo. Da bi to dosegel, ima privzeto vrsto slovarjev, ki jih bo uporabil za pošiljanje zahtev čakalnemu strežniku koda stanja odziv 200.
- Aktivno skeniranje: Samodejno generira različne spletne napade na spletno mesto, na primer CSRF, XSS, SQL Injection.
- In mnogi drugi: Pravzaprav obstaja še veliko drugih funkcij, kot so: Podpora za spletne vtičnice različice 2.0.0, AJAX Spider, Fuzzer in nekatere druge.
Konfiguracija z Firefoxom
Če želimo, lahko nastavimo vtičnico, skozi katero bo poslušal ZAP Orodja -> Možnosti -> Lokalni proxy. V mojem primeru poslušam na vrati 8018:
Nato odpremo nastavitve za Firefox in bomo Napredno -> Omrežje -> Konfiguracija -> Ročna konfiguracija strežnika proxy. Označujemo vtičnico, ki smo jo predhodno konfigurirali v ZAP:
Če je šlo vse v redu, bomo ves promet HTTP poslali na ZAP in ta bo zadolžen za njegovo preusmeritev, kot bi to storil kateri koli posrednik. Kot primer v brskalnik vstopim v ta spletni dnevnik in vidim, kaj se zgodi v ZAP:
Vidimo lahko, da je bilo za popolno nalaganje strani ustvarjenih več kot 100 sporočil HTTP (večina jih uporablja metodo GET). Kot vidimo v zavihku Spletna mesta Ne samo, da je bil ustvarjen promet na tem blogu, ampak tudi na drugih straneh. Eden izmed njih je Facebook, ustvari pa ga družabni vtičnik na dnu strani «Spremljajte nas na Facebooku ". Prav tako Google Analytics kar kaže na prisotnost omenjenega orodja za analizo in vizualizacijo statistik tega spletnega dnevnika s strani skrbnikov strani.
Prav tako lahko podrobno opazujemo vsako izmenjano sporočilo HTTP, poglejmo odziv, ki ga je ustvaril spletni strežnik tega spletnega dnevnika, ko sem vnesla naslov http://desdelinux.net izbira ustrezne zahteve HTTP GET:
Opažamo, da a koda stanja 301, ki označuje preusmeritev, ki je usmerjena proti https://blog.desdelinux.net/.
ZAP postane odlična popolnoma brezplačna alternativa Apartma Burp Za tiste, ki se začenjamo v tem vznemirljivem svetu spletne varnosti, bomo zagotovo ure in ure v ospredju tega orodja spoznavali različne tehnike spletnega vdora, Nekaj jih nosim. 😛
To je nekaj, kar moram storiti, predvsem da dokažem, kaj počnem.
Precej zanimivo je
To orodje je videti veliko bolj popolno kot Microsoft Network Monitor. Prispevek je cenjen.
Odlično, najlepša hvala za informacije in razlago.
Lep pozdrav.
IMHO, mislim, da je treba ta orodja pustiti za varnostno področje in jih ne objavljati na blogu linux. Obstajajo ljudje, ki ga lahko uporabljajo neodgovorno ali nezavedno.
Orodja bodo vedno orodja z dvema robovima, saj jih uporabljajo dobri in slabi, na žalost pa se temu ni mogoče izogniti. OWASP ZAP je orodje, ki ga na področju spletne varnosti priznava skupnost EH in se uporablja za spletne revizije. Ne pozabite: "Z veliko močjo prihaja velika odgovornost."
Ta prispevek sem objavil, ker v prihodnosti študiram samouk, da bi lahko ponudil storitve HD, in menil sem, da bi to zanimalo druge bralce. Konec ni, da ga uporabljajo nedovoljeno, še manj, zato opozorilo na začetku prispevka.
Pozdravljeni!
PD1 ->: that'suspicious: Troll odkriti? Dvomim ...
PD2 -> Jhahaha Prosim, ne dovolite, da to postane plamenska vojna od tu do spodaj kot v drugih objavah.