Wakiilka Weerarka ee OWASP Zed

El Wakiilka Weerarka ee Zed (ZAP) waa qalab bilaash ah oo ku qoran Java ka imanaya Mashruuca OWASP si loo fuliyo, marka hore, imtixaannada gelitaanka ee barnaamijyada shabakadda in kasta oo ay sidoo kale u isticmaali karaan horumariyeyaasha shaqadooda maalinlaha ah. Laga bilaabo maanta waxay ku jirtaa qaybteeda 2.1.0 iyo baahiyaha Java 7 inaan ordo, in kastoo aan u adeegsado gudaha Debian GNU / Linux hoose OpenJDK 7. Kuwa naga mid ah ee bilaabaya adduunka ee amniga dalabka shabakadda, waa qalab aad u fiican in lagu nadiifiyo xirfadaheena.

Astaamaha qaar (tusaale ahaan Sawirka Firfircoon) ee Wakiilka ZAP looma adeegsan karo bogag aan annaga ahayn ama aanan haysan oggolaansho hore oo aan ku sameyn karno, maadaama loo qaadan karo waxqabadyo sharci-darro ah

Ka mid ah qaababka badan ee beddelaan, Waxaan ka faalloon doonaa waxyaabaha soo socda:

  • Wakiilka dhexda: Waxay ku habboon tahay kuwa naga mid ah ee ku cusub aaggan nabadgelyada, oo loo qaabeeyey sida saxda ah, waxay u oggolaaneysaa in la arko dhammaan taraafikada u dhexeysa biraawsarka iyo server-ka xilligan, iyadoo si fudud loo tusayo madaxyada iyo jirka farriimaha HTTP iyadoon loo eegin habka loo adeegsaday (MADAXA, HEL, POST, iwm). Intaas waxaa sii dheer waan awoodnaa wax ka beddel taraafikada HTTP marka la doono labada jiho ee isgaarsiinta (inta u dhexeysa serverka iyo barowsarka).
  • Caaro: Waa muuqaal gacan ka geysanaya soo helitaanka URL-yada cusub ee goobta la hubiyay ka socda. Mid ka mid ah siyaabaha ay tan u sameyso waa iyada oo la baarayo lambarka HTML ee bogga si loo ogaado astaamaha. oo raac sifooyinkooda href.
  • Daalacashada khasabka ah: Waxay isku dayeysaa inay soo hesho feylal iyo tusmooyin aan ku qorneyn bogga sida bogagga soo galitaanka. Si tan loo gaaro, waxay leedahay uguyaab ahaan qaamuusyo taxane ah oo ay u adeegsan doonto inay ku sameyso codsiyo adeegaha sugaya lambarka aqoonsiga jawaab 200.
  • Sawirka Firfircoon: Waxay si otomaatig ah u soo saartaa websaydhyo kala duwan oo ka dhan ah goobta sida CSRF, XSS, SQL Injection iyo kuwo kale.
  • Iyo kuwa kale oo badan: Xaqiiqdii waxaa jira astaamo kale oo badan sida: Taageerada saldhigyada shabakadda ee laga soo qaatay nooca 2.0.0, AJAX Spider, Fuzzer, iyo kuwo kale oo badan.

Ku habeynta Firefox

Waxaan ku habeyn karnaa bareesada ay ZAP ku dhageysan doonto haddii aan aadno Qalabka -> Fursadaha -> Wakiil Maxalli ah. Kiiskeyga waxaan ku dhageysanayaa dekedda 8018:

Qaabeynta "wakiil deegaanka"

Qaabeynta «wakiilka deegaanka»

Kadib waxaan fureynaa dookha Firefox waana fureynaa Advanced -> Shabakad -> Qaabeynta -> Qaabeynta wakiil wakiil. Waxaan muujineynaa godka aan horey ugu qaabeynay ZAP:

Ku xidh wakiilka Firefox

Ku xidh wakiilka Firefox

Haddii wax waliba si fiican u socdaan, waxaan u diri doonnaa dhammaan taraafikadayada 'HTTP-ga' ZAP waxayna u wareejin doontaa sidii wakiil kasta oo kale. Tusaale ahaan waxaan ka soo galayaa balooggan biraawsarka oo aan aragnaa waxa ka dhacaya ZAP:

Dulmarka ZAP

Dulmarka ZAP

Waxaan arki karnaa in ka badan 100 farriimaha HTTP (inta badan adeegsiga habka GET) ayaa loo sameeyay in si buuxda loo buuxiyo bogga. Sida aan ku aragno tabta Goobaha Kaliya maaha in taraafikada loo sameeyay balooggan, laakiin sidoo kale bogagga kale. Mid ka mid ah waa Facebook waxaana soo saaray barta bulshada ee bogga hoose «Nagala soco Facebook ". Sidoo kale sameeyay Google Analytics taas oo muujinaysa joogitaanka qalab la sheegay ee falanqaynta iyo muuqaalka tirakoobka balooggan ee ay leeyihiin maamulayaasha goobta.

Waxaan sidoo kale si faahfaahsan u fiirsan karnaa mid kasta oo ka mid ah farriimaha HTTP ee la isweydaarsaday, bal aan aragno jawaabta ay abuureen adeegaha webka ee boggan markii aan galayay cinwaanka http://desdelinux.net xulashada codsigeeda HTTP GET:

Faahfaahinta farriinta HTTP

Faahfaahinta farriinta HTTP

Waxaan ognahay in a lambarka aqoonsiga 301, oo tilmaamaysa dib u jeedin ku wajahan https://blog.desdelinux.net/.

beddelaan noqonayaa bedel fiican oo gebi ahaanba bilaash ah Burp Suite Kuweena bilaabaya adduunkan xiisaha badan ee amniga webka, waxaan hubaal saacado iyo saacado ku qaadan doonaa aaladda horteeda barashada farsamooyinka haakaynta webka ee kala duwan, Wax yar baan sitaa. 😛


5 faallooyin, ka tag taada

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.

  1.   nano dijo

    Taasi waa wax ay tahay inaan sameeyo, inta badan si aan u caddeeyo waxa aan sameeyo.

    Waa arrin xiiso badan

  2.   Waqti dheer 3000 dijo

    Qalabkani wuxuu umuuqdaa mid aad uga dhameystiran kahooseeya Microsoft Network Monitor. Wax ku biirinta waa la mahadiyey.

  3.   Kareem dijo

    Aad u fiican, aad ayaad ugu mahadsantahay macluumaadka iyo sharaxaadda.
    Thanks.

  4.   xavip dijo

    IMHO, waxaan u maleynayaa in qalabkan loo daayo baaxadda amniga, oo aan lagu daabicin barta Linux. Waxaa jira dad u isticmaali kara si xilkasnimo darro ama miyir la’aan ah.

    1.    pablox dijo

      Qalabku had iyo jeer wuxuu noqonayaa qalab laba af leh, maadaama ay u adeegsadaan kuwa wanaagsan iyo kuwa xunba, nasiib daro aan laga hortegi karin. OWASP ZAP waa aalad ay aqoonsadeen bulshada EH ee ku saabsan amniga shabakadda waxaana loo adeegsadaa xisaabinta webka. Xusuusnow, "Awoodda weyn waxaa la yimaada mas'uuliyad weyn."

      Waxaan daabacay gelitaankan maxaa yeelay waxaan baranayaa is-baray inaan bixiyo adeegyo HD mustaqbalka waxaanan u maleeyay inay danaynayso akhristayaasha kale. Ugudambeyn maahan inay si sharci darro ah ugu isticmaalaan, waxbadanna way ka yar yihiin, markaa digniinta bilowga boostada.

      Salaan!

      PD1 ->: taasi waa shaki: Troll ayaa la ogaaday? Shaki ayaan qabaa….
      PD2 -> Jhahaha Fadlan tan ha uga beddelin dagaal olol ah halkan ka bilow sida qoraallada kale.