El Proxy i Zed Attack (ZAP) është një mjet falas i shkruar në Java vjen nga Projekti OWASP për të kryer, në radhë të parë, teste të depërtimit në aplikacione në internet, megjithëse mund të përdoren gjithashtu nga zhvilluesit në punën e tyre të përditshme. Që nga sot ajo është në versionin e saj 2.1.0 dhe ka nevojë Java 7 për të kandiduar, edhe pse unë e përdorin atë në Debian GNU / Linux ulët OpenJDK 7. Për ata prej nesh që po fillojnë në botën e sigurisë së aplikacioneve në internet, është një mjet i shkëlqyeshëm për të lustruar aftësitë tona.
Ndër shumë tipare të ZAP, Unë do të komentoj në vijim:
- Proxy përgjimi: Ideale për ata prej nesh që jemi të porsaardhur në këtë fushë të sigurisë, të konfiguruar në mënyrën e duhur, lejon të shohim të gjithë trafikun midis shfletuesit dhe serverit të internetit të momentit, duke treguar në një mënyrë të thjeshtë kokat dhe trupin e mesazheve HTTP pavarësisht nga metoda e përdorur (HEAD, GET, POST, etj). Përveç kësaj ne mundemi modifikoni trafikun HTTP sipas dëshirës në të dy drejtimet e komunikimit (midis serverit të internetit dhe shfletuesit).
- Merimangë: Isshtë një tipar që ndihmon për të zbuluar URL të reja në faqen e audituar. Një nga mënyrat për ta bërë këtë është duke analizuar kodin HTML të faqes për të zbuluar etiketat. dhe ndiqni atributet e tyre href
- Shfletimi i detyruar: Ai përpiqet të zbulojë skedarë dhe direktori jo të indeksuara në faqe, siç janë faqet e hyrjes. Për ta arritur këtë, ai ka si parazgjedhje një seri fjalorësh që do t'i përdorë për t'i bërë kërkesa serverit në pritje kodi i statusit përgjigje 200.
- Skanimi aktiv: Gjeneron automatikisht sulme të ndryshme në internet kundër faqes si CSRF, XSS, SQL Injection ndër të tjera.
- Dhe shume te tjere: Në të vërtetë ka shumë karakteristika të tjera të tilla si: Mbështetje për bazat e internetit nga versioni 2.0.0, AJAX Spider, Fuzzer dhe disa të tjerë.
Konfigurimi me Firefox
Ne mund të konfigurojmë prizën përmes së cilës ZAP do të dëgjojë nëse do të dëgjojmë Mjetet -> Opsionet -> Proxy Lokal. Në rastin tim, unë e kam atë duke dëgjuar në portin 8018:
Konfigurimi «Proxy lokale»
Pastaj hapim preferencat e Firefox dhe do ta bëjmë Avancuar -> Rrjeti -> Konfigurimi -> Konfigurimi manual i përfaqësuesit. Ne tregojmë prizën që kemi konfiguruar më parë në ZAP:
Konfiguroni përfaqësuesin në Firefox
Nëse gjithçka ka shkuar mirë, ne do të dërgojmë të gjithë trafikun tonë HTTP në ZAP dhe kjo do të kujdeset për ridrejtimin e tij siç do të bënte çdo proxy. Si shembull, unë hyj në këtë blog nga shfletuesi dhe le të shohim se çfarë ndodh në ZAP:
Ne mund të shohim se më shumë se 100 mesazhe HTTP (shumica duke përdorur metodën GET) janë gjeneruar për të ngarkuar plotësisht faqen. Siç e shohim në skedë Faqe (s) Jo vetëm që është gjeneruar trafik në këtë blog, por edhe në faqe të tjera. Njëri prej tyre është Facebook dhe gjenerohet nga shtojca sociale në fund të faqes «Na ndiqni në Facebook ”. Po ashtu bëri Google Analytics gjë që tregon praninë e mjetit të përmendur për analizën dhe vizualizimin e statistikave të këtij blogu nga administratorët e faqes.
Ne gjithashtu mund të vëzhgojmë në detaje secilin nga mesazhet HTTP të shkëmbyera, le të shohim përgjigjen që u krijua nga serveri i internetit i këtij blogu kur kam futur adresën http://desdelinux.net duke zgjedhur kërkesën përkatëse HTTP GET:
Detaje të mesazhit HTTP
Vëmë re se a kodi i statusit 301, i cili tregon një ridrejtim që drejtohet kah https://blog.desdelinux.net/.
ZAP bëhet një alternativë e shkëlqyeshme plotësisht e lirë për të Suitë Burp Për ata prej nesh që po fillojnë në këtë botë emocionuese të sigurisë në internet, me siguri do të kalojmë orë dhe orë para këtij mjeti duke mësuar teknika të ndryshme të piraterisë në internet, Unë mbaj disaMe 😛
Kjo është diçka që duhet të bëj, kryesisht për të provuar atë që bëj.
Quiteshtë mjaft interesante
Ky mjet duket shumë më i plotë se sa Monitori i Rrjetit Microsoft. Kontributi vlerësohet.
Shkëlqyeshëm, faleminderit shumë për informacionin dhe shpjegimin.
Përshëndetje.
IMHO, mendoj se këto mjete duhet të lihen në fushën e sigurisë dhe jo ta publikojnë në një blog linux. Ka njerëz që mund ta përdorin atë në mënyrë të papërgjegjshme ose të pavetëdijshme.
Mjetet do të jenë gjithmonë mjete me dy tehe, pasi ato përdoren nga të mirët dhe të këqijtë, për fat të keq nuk mund të shmangen. OWASP ZAP është një mjet i njohur nga komuniteti i EH në fushën e sigurisë në internet dhe përdoret për auditimet në internet. Mos harroni, "Me një fuqi të madhe vjen përgjegjësia e madhe".
Unë e botova këtë postim sepse jam duke studiuar vetë-mësimdhënës për të ofruar shërbime HD në të ardhmen dhe mendova se do të ishte me interes për lexuesit e tjerë. Fundi nuk është se ata e përdorin atë në mënyrë të paligjshme, aq më pak, prandaj paralajmërimi në fillim të postimit.
Përshëndetje!
PD1 ->: kjo është e mbara: A u zbulua këndimi? Kam dyshimin.
PD2 -> Jhahaha Ju lutem mos e ktheni këtë në një luftë flakë nga këtu poshtë si në postimet e tjera.