ОВАСП Зед Аттацк Проки

El Зед Аттацк Проки (ЗАП) је бесплатан алат написан на језику Јава из ОВАСП пројекат да у првом реду спроведу тестове пенетрације у веб апликацијама, иако их програмери такође могу користити у свакодневном раду. Од данас је у својој верзији 2.1.0 и треба Јава КСНУМКС да трчи, мада га користим у Дебиан ГНУ / Линук испод ОпенЈДК КСНУМКС. За оне који почињемо са светом безбедности веб апликација, то је одличан алат за полирање наших вештина.

Међу многим карактеристикама ЗАП, Коментарисаћу следеће:

• Проки за пресретање: Идеално за оне који смо почетници у овом пољу безбедности, конфигурисани на исправан начин, омогућава вам сав саобраћај између прегледача и веб сервера тренутка, приказујући на једноставан начин заглавља и тело ХТТП порука без обзира на коришћена метода (ХЕАД, ГЕТ, ПОСТ, итд.). Поред тога можемо измените ХТТП саобраћај по вољи у оба смера комуникације (између веб сервера и прегледача).
• Паук: То је функција која помаже у откривању нових УРЛ адреса на ревидираној веб локацији. Један од начина на који то чини је рашчлањивање ХТМЛ кода странице ради откривања ознака. и следите њихове атрибуте хреф.
• Принудно прегледање: Покушава да открије неиндексиране датотеке и директоријуме на веб локацији, као што су странице за пријављивање. Да би то постигао, подразумевано има низ речника које ће користити за упућивање захтева серверу на чекању статусни код одговор 200.
• Активно скенирање: Аутоматски генерише различите веб нападе на веб локацију, као што су ЦСРФ, КССС, СКЛ ињекција, између осталог.
• И многи други: Заправо постоје многе друге функције као што су: Подршка за веб утичнице од верзије 2.0.0, АЈАКС Спидер, Фуззер и неколико других.

Конфигурација са Фирефок-ом

Можемо да конфигуришемо утичницу кроз коју ће ЗАП слушати ако то желимо Алати -> Опције -> Локални прокси. У мом случају га слушам на порту 8018:

Конфигурација «Локални проки»

Затим отворимо Фирефок преференције и хоћемо Напредно -> Мрежа -> Конфигурација -> Ручна конфигурација проки сервера. Указујемо на сокет који смо претходно конфигурисали у ЗАП-у:

Конфигуришите прокси у Фирефок-у

Ако је све прошло у реду, сав свој ХТТП саобраћај ћемо послати у ЗАП и он ће бити задужен за његово преусмеравање као и сваки проки. Као пример, улазим у овај блог из прегледача и видим шта се дешава у ЗАП-у:

ЗАП преглед

Видимо да је генерисано више од 100 ХТТП порука (већина која користи ГЕТ метод) за потпуно учитавање странице. Као што видимо на картици Сајтови Не само да је генерисан промет на овом блогу, већ и на другим страницама. Један од њих је Фацебоок, а генерише га додатак за друштвене мреже на дну странице «Пратите нас на фејзбуку". Такође јесте Google Analytics што указује на присуство поменутог алата за анализу и визуелизацију статистике овог блога од стране администратора странице.

Такође можемо детаљно посматрати сваку размењену ХТТП поруку, погледајмо одговор који је генерисао веб сервер овог блога када сам унео адресу http://desdelinux.net одабиром одговарајућег ХТТП ГЕТ захтева:

Детаљ ХТТП поруке

Примећујемо да а статусни код 301, што указује на преусмеравање које је усмерено ка https://blog.desdelinux.net/.

ЗАП постаје изврсна потпуно бесплатна алтернатива БурпСуите За оне од нас који почињемо са овим узбудљивим светом веб сигурности, сигурно ћемо провести сате и сате у првом плану овог алата учећи различите технике хаковања на мрежи, Носим их неколико. 😛