El ஜெட் அட்டாக் ப்ராக்ஸி (ZAP) எழுதப்பட்ட ஒரு இலவச கருவி ஜாவா இருந்து வருகிறது OWASP திட்டம் முதல் முறையாக, வலை பயன்பாடுகளில் ஊடுருவல் சோதனைகளைச் செய்ய, டெவலப்பர்களால் அவர்களின் அன்றாட வேலைகளிலும் இதைப் பயன்படுத்தலாம். இன்றைய நிலவரப்படி இது அதன் பதிப்பு 2.1.0 இல் உள்ளது மற்றும் தேவைகள் ஜாவா இயக்க, நான் அதை பயன்படுத்தினாலும் டெபியன் குனு / லினக்ஸ் குறைந்த OpenJDK 7. வலை பயன்பாட்டு பாதுகாப்பு உலகில் தொடங்கும் எங்களில், இது எங்கள் திறமைகளை மேம்படுத்த ஒரு சிறந்த கருவியாகும்.
இன் பல அம்சங்களில் ZAP, பின்வருவனவற்றில் நான் கருத்து தெரிவிப்பேன்:
- இடைமறிப்பு பதிலாள்: இந்த பாதுகாப்புத் துறையில் புதியவர்களாக இருப்பவர்கள், சரியான வழியில் கட்டமைக்கப்பட்டிருப்பவர்களுக்கு ஏற்றது, இது உலாவிக்கும் வலை சேவையகத்திற்கும் இடையிலான அனைத்து போக்குவரத்தையும் இந்த நேரத்தில் பார்க்க அனுமதிக்கிறது, இது HTTP இன் தலைப்புகள் மற்றும் உடலை எளிமையாகக் காட்டுகிறது பயன்படுத்தப்படும் முறையைப் பொருட்படுத்தாமல் செய்திகள் (HEAD, GET, POST, போன்றவை). கூடுதலாக நாம் முடியும் தகவல்தொடர்பு இரு திசைகளிலும் (வலை சேவையகத்திற்கும் உலாவிக்கும் இடையில்) விருப்பப்படி HTTP போக்குவரத்தை மாற்றவும்.
- சிலந்தி: இது தணிக்கை செய்யப்பட்ட தளத்தில் புதிய URL களைக் கண்டறிய உதவும் அம்சமாகும். குறிச்சொற்களைக் கண்டறிய பக்கத்தின் HTML குறியீட்டை பாகுபடுத்துவதன் மூலம் இதைச் செய்வதற்கான வழிகளில் ஒன்று. அவற்றின் பண்புகளைப் பின்பற்றுங்கள் href.
- கட்டாய உலாவுதல்: உள்நுழைவு பக்கங்கள் போன்ற தளத்தில் குறியிடப்படாத கோப்புகள் மற்றும் கோப்பகங்களைக் கண்டறிய முயற்சிக்கிறது. இதை அடைய, இது இயல்பாகவே தொடர்ச்சியான அகராதிகளைக் கொண்டுள்ளது, இது காத்திருக்கும் சேவையகத்திற்கு கோரிக்கைகளைச் செய்யப் பயன்படும் நிலை குறியீடு பதில் 200.
- செயலில் ஸ்கேன்: CSRF, XSS, SQL Injection போன்ற தளத்திற்கு எதிராக வெவ்வேறு வலைத் தாக்குதல்களை தானாக உருவாக்குகிறது.
- மற்றும் பலர்: உண்மையில் இது போன்ற பல அம்சங்கள் உள்ளன: பதிப்பு 2.0.0, அஜாக்ஸ் ஸ்பைடர், ஃபஸர் மற்றும் பலவற்றிலிருந்து வலை சாக்கெட்டுகளுக்கான ஆதரவு.
பயர்பாக்ஸுடன் உள்ளமைவு
நாம் போகிறீர்கள் என்றால் ZAP கேட்கும் சாக்கெட்டை நாம் கட்டமைக்க முடியும் கருவிகள் -> விருப்பங்கள் -> உள்ளூர் ப்ராக்ஸி. என் விஷயத்தில் நான் போர்ட் 8018 இல் கேட்கிறேன்:
உள்ளமைவு «உள்ளூர் ப்ராக்ஸி»
பின்னர் நாங்கள் பயர்பாக்ஸ் விருப்பங்களைத் திறக்கிறோம், நாங்கள் செய்வோம் மேம்பட்ட -> நெட்வொர்க் -> உள்ளமைவு -> கையேடு ப்ராக்ஸி உள்ளமைவு. நாங்கள் முன்னர் ZAP இல் கட்டமைத்த சாக்கெட்டைக் குறிக்கிறோம்:
பயர்பாக்ஸில் ப்ராக்ஸியை உள்ளமைக்கவும்
எல்லாம் சரியாக நடந்திருந்தால், நாங்கள் எங்கள் எல்லா HTTP போக்குவரத்தையும் ZAP க்கு அனுப்புவோம், மேலும் அது எந்த ப்ராக்ஸியையும் போலவே திருப்பி விடப்படும். உதாரணமாக, நான் இந்த வலைப்பதிவை உலாவியில் உள்ளிடுகிறேன், மேலும் ZAP இல் என்ன நடக்கிறது என்று பார்ப்போம்:
பக்கத்தை முழுமையாக ஏற்ற 100 க்கும் மேற்பட்ட HTTP செய்திகள் (பெரும்பாலானவை GET முறையைப் பயன்படுத்துகின்றன) உருவாக்கப்பட்டுள்ளன என்பதைக் காணலாம். நாம் தாவலில் பார்ப்பது போல தளங்கள் இந்த வலைப்பதிவிற்கு மட்டுமல்லாமல், பிற பக்கங்களுக்கும் போக்குவரத்து உருவாக்கப்பட்டுள்ளது. அவற்றில் ஒன்று பேஸ்புக் மற்றும் இது பக்கத்தின் கீழே உள்ள சமூக சொருகி மூலம் உருவாக்கப்படுகிறது «பேஸ்புக்கில் எங்களைப் பின்தொடரவும் ". செய்தது கூகுள் அனலிட்டிக்ஸ் இது தளத்தின் நிர்வாகிகளால் இந்த வலைப்பதிவின் புள்ளிவிவரங்களை பகுப்பாய்வு செய்வதற்கும் காட்சிப்படுத்துவதற்கும் கூறப்பட்ட கருவியின் இருப்பைக் குறிக்கிறது.
பரிமாறிக்கொள்ளப்பட்ட ஒவ்வொரு HTTP செய்திகளையும் நாம் விரிவாகக் காணலாம், நான் முகவரியை உள்ளிட்டபோது இந்த வலைப்பதிவின் வலை சேவையகத்தால் உருவாக்கப்பட்ட பதிலைப் பார்ப்போம் http://desdelinux.net அந்தந்த HTTP GET கோரிக்கையைத் தேர்ந்தெடுப்பது:
HTTP செய்தி விவரம்
நாம் ஒரு நிலை குறியீடு 301, இது திசைதிருப்பப்படுவதைக் குறிக்கிறது https://blog.desdelinux.net/.
ZAP க்கு ஒரு சிறந்த முற்றிலும் இலவச மாற்றாக மாறுகிறது பர்ப்சூட் வலைப் பாதுகாப்பின் இந்த உற்சாகமான உலகில் தொடங்கும் எங்களில், வெவ்வேறு வலை ஹேக்கிங் நுட்பங்களைக் கற்க இந்த கருவியின் முன்னணியில் நாங்கள் நிச்சயமாக மணிநேரங்களையும் மணிநேரத்தையும் செலவிடுவோம், நான் சிலவற்றைச் சுமக்கிறேன். ஆ
அது நான் செய்ய வேண்டிய ஒன்று, பெரும்பாலும் நான் என்ன செய்கிறேன் என்பதை நிரூபிக்க.
இது மிகவும் சுவாரஸ்யமானது
இந்த கருவி மைக்ரோசாப்ட் நெட்வொர்க் மானிட்டரை விட முழுமையானதாக தெரிகிறது. பங்களிப்பு பாராட்டப்பட்டது.
அருமை, தகவல் மற்றும் விளக்கத்திற்கு மிக்க நன்றி.
வாழ்த்துக்கள்.
IMHO, இந்த கருவிகள் பாதுகாப்பு நோக்கங்களுக்காக விடப்பட வேண்டும், அதை லினக்ஸ் வலைப்பதிவில் வெளியிடக்கூடாது என்று நினைக்கிறேன். பொறுப்பற்ற முறையில் அல்லது அறியாமலேயே அதைப் பயன்படுத்தக்கூடிய நபர்கள் உள்ளனர்.
கருவிகள் எப்போதும் இரட்டை முனைகள் கொண்ட கருவிகளாக இருக்கும், ஏனெனில் அவை நல்ல மற்றும் கெட்டவற்றால் பயன்படுத்தப்படுகின்றன, துரதிர்ஷ்டவசமாக அதைத் தவிர்க்க முடியாது. OWASP ZAP என்பது வலை பாதுகாப்பு துறையில் EH சமூகத்தால் அங்கீகரிக்கப்பட்ட ஒரு கருவியாகும், இது வலை தணிக்கைகளுக்கு பயன்படுத்தப்படுகிறது. நினைவில் கொள்ளுங்கள், "பெரும் சக்தியுடன் பெரிய பொறுப்பு வருகிறது."
எதிர்காலத்தில் எச்டி சேவைகளை வழங்குவதற்காக நான் சுயமாகக் கற்றுக் கொண்டிருப்பதால் இந்த பதிவை வெளியிட்டேன், மற்ற வாசகர்களுக்கு இது ஆர்வமாக இருக்கும் என்று நினைத்தேன். முடிவு அவர்கள் அதை சட்டவிரோதமாக பயன்படுத்துகிறார்கள், மிகக் குறைவாக இல்லை, எனவே இடுகையின் ஆரம்பத்தில் எச்சரிக்கை.
வாழ்த்துக்கள்!
PD1 ->: that'ssuspicious: பூதம் கண்டறியப்பட்டதா? எனக்கு சந்தேகம் இருக்கிறது….
PD2 -> ஜஹாஹா தயவுசெய்து இது மற்ற இடுகைகளைப் போலவே இங்கிருந்து கீழே ஒரு சுடர் போராக மாற வேண்டாம்.