OWASP Zed Attack Proxy

El Zed Attack Proxy (ZAP) je brezplačno orodje, napisano v jeziku Java prihajajo iz Projekt OWASP za izvajanje preizkusov penetracije v spletnih aplikacijah, čeprav jih lahko razvijalci uporabljajo tudi pri vsakodnevnem delu. Od danes je v različici 2.1.0 in potrebuje Java 7 za zagon, čeprav ga uporabljam v Debian GNU / Linux pod OpenJDK 7. Za tiste, ki se začenjamo ukvarjati s svetom varnosti spletnih aplikacij, je to odlično orodje za izboljšanje naših veščin.

Med številnimi značilnostmi ZAP, Komentiral bom naslednje:

• Proxy za prestrezanje: Idealno za tiste, ki smo začetniki na tem področju varnosti, konfigurirani na pravilen način, omogoča ogled celotnega prometa med trenutnim brskalnikom in spletnim strežnikom ter na enostaven način prikazuje glave in telo sporočil HTTP, ne glede na uporabljena metoda (HEAD, GET, POST itd.). Poleg tega lahko spremenite promet HTTP po želji v obe smeri komunikacije (med spletnim strežnikom in brskalnikom).
• Pajek: To je funkcija, ki pomaga odkriti nove URL-je na revidiranem spletnem mestu. Eden od načinov, kako to stori, je razčlenjevanje kode HTML strani za odkrivanje oznak. in sledite njihovim lastnostim href.
• Prisilno brskanje: Poskuša odkriti neindeksirane datoteke in imenike na spletnem mestu, kot so strani za prijavo. Da bi to dosegel, ima privzeto vrsto slovarjev, ki jih bo uporabil za pošiljanje zahtev čakalnemu strežniku koda stanja odziv 200.
• Aktivno skeniranje: Samodejno generira različne spletne napade na spletno mesto, na primer CSRF, XSS, SQL Injection.
• In mnogi drugi: Pravzaprav obstaja še veliko drugih funkcij, kot so: Podpora za spletne vtičnice različice 2.0.0, AJAX Spider, Fuzzer in nekatere druge.

Konfiguracija z Firefoxom

Če želimo, lahko nastavimo vtičnico, skozi katero bo poslušal ZAP Orodja -> Možnosti -> Lokalni proxy. V mojem primeru poslušam na vrati 8018:

Konfiguracija «Lokalni proxy»

Nato odpremo nastavitve za Firefox in bomo Napredno -> Omrežje -> Konfiguracija -> Ročna konfiguracija strežnika proxy. Označujemo vtičnico, ki smo jo predhodno konfigurirali v ZAP:

Konfigurirajte proxy v Firefoxu

Če je šlo vse v redu, bomo ves promet HTTP poslali na ZAP in ta bo zadolžen za njegovo preusmeritev, kot bi to storil kateri koli posrednik. Kot primer v brskalnik vstopim v ta spletni dnevnik in vidim, kaj se zgodi v ZAP:

Pregled ZAP

Vidimo lahko, da je bilo za popolno nalaganje strani ustvarjenih več kot 100 sporočil HTTP (večina jih uporablja metodo GET). Kot vidimo v zavihku Spletna mesta Ne samo, da je bil ustvarjen promet na tem blogu, ampak tudi na drugih straneh. Eden izmed njih je Facebook, ustvari pa ga družabni vtičnik na dnu strani «Spremljajte nas na Facebooku ". Prav tako Google Analytics kar kaže na prisotnost omenjenega orodja za analizo in vizualizacijo statistik tega spletnega dnevnika s strani skrbnikov strani.

Prav tako lahko podrobno opazujemo vsako izmenjano sporočilo HTTP, poglejmo odziv, ki ga je ustvaril spletni strežnik tega spletnega dnevnika, ko sem vnesla naslov http://desdelinux.net izbira ustrezne zahteve HTTP GET:

Podrobnosti o sporočilu HTTP

Opažamo, da a koda stanja 301, ki označuje preusmeritev, ki je usmerjena proti https://blog.desdelinux.net/.

ZAP postane odlična popolnoma brezplačna alternativa Apartma Burp Za tiste, ki se začenjamo v tem vznemirljivem svetu spletne varnosti, bomo zagotovo ure in ure v ospredju tega orodja spoznavali različne tehnike spletnega vdora, Nekaj ​​jih nosim. 😛