El พร็อกซีโจมตี Zed (ZAP) เป็นเครื่องมือฟรีที่เขียนในรูปแบบ ชวา มาจาก โครงการ OWASP ในการดำเนินการในกรณีแรกคือการทดสอบการเจาะในเว็บแอปพลิเคชันแม้ว่านักพัฒนาจะสามารถใช้ในการทำงานประจำวันได้ ณ วันนี้มันอยู่ในเวอร์ชัน 2.1.0 และต้องการ 7 Java เพื่อเรียกใช้แม้ว่าฉันจะใช้มันก็ตาม Debian GNU / Linux ต่ำ OpenJDK 7. สำหรับพวกเราที่เริ่มต้นในโลกของการรักษาความปลอดภัยเว็บแอปพลิเคชันมันเป็นเครื่องมือที่ยอดเยี่ยมในการขัดเกลาทักษะของเรา
ท่ามกลางคุณสมบัติมากมายของ ZAPฉันจะแสดงความคิดเห็นต่อไปนี้:
- พร็อกซีการสกัดกั้น: เหมาะอย่างยิ่งสำหรับพวกเราที่เป็นมือใหม่ในด้านความปลอดภัยนี้ได้รับการกำหนดค่าด้วยวิธีที่ถูกต้องช่วยให้สามารถดูการรับส่งข้อมูลทั้งหมดระหว่างเบราว์เซอร์และเว็บเซิร์ฟเวอร์ในขณะนี้โดยแสดงส่วนหัวและเนื้อหาของ HTTP ด้วยวิธีง่ายๆ ข้อความโดยไม่คำนึงถึงวิธีการที่ใช้ (HEAD, GET, POST ฯลฯ ) นอกจากนี้เราสามารถ แก้ไขการรับส่งข้อมูล HTTP ตามต้องการในทั้งสองทิศทางของการสื่อสาร (ระหว่างเว็บเซิร์ฟเวอร์และเบราว์เซอร์)
- แมงมุม: เป็นคุณลักษณะที่ช่วยในการค้นหา URL ใหม่บนไซต์ที่ตรวจสอบแล้ว วิธีหนึ่งในการดำเนินการนี้คือการแยกวิเคราะห์โค้ด HTML ของหน้าเพื่อค้นหาแท็ก และปฏิบัติตามคุณลักษณะของพวกเขา href
- บังคับเรียกดู: พยายามค้นหาไดเรกทอรีและไฟล์ที่ไม่ได้จัดทำดัชนีบนไซต์เช่นหน้าล็อกอิน เพื่อให้บรรลุเป้าหมายนี้โดยค่าเริ่มต้นจะมีชุดพจนานุกรมที่จะใช้เพื่อส่งคำขอไปยังเซิร์ฟเวอร์ที่รออยู่ รหัสสถานะ ตอบกลับ 200.
- การสแกนที่ใช้งานอยู่: สร้างการโจมตีเว็บที่แตกต่างกันโดยอัตโนมัติกับไซต์เช่น CSRF, XSS, SQL Injection เป็นต้น
- และอื่น ๆ อีกมากมาย: จริงๆแล้วยังมีคุณสมบัติอื่น ๆ อีกมากมายเช่น: รองรับเว็บซ็อกเก็ตจากเวอร์ชัน 2.0.0, AJAX Spider, Fuzzer และอื่น ๆ อีกมากมาย
การกำหนดค่าด้วย Firefox
เราสามารถกำหนดค่าซ็อกเก็ตที่ ZAP จะรับฟังหากเรากำลังจะไป เครื่องมือ -> ตัวเลือก -> Local Proxy ในกรณีของฉันฉันฟังบนพอร์ต 8018:
การกำหนดค่า« Local proxy »
จากนั้นเราเปิดการตั้งค่า Firefox และเราจะทำ ขั้นสูง -> เครือข่าย -> การกำหนดค่า -> การกำหนดค่าพร็อกซีด้วยตนเอง เราระบุซ็อกเก็ตที่เรากำหนดค่าไว้ก่อนหน้านี้ใน ZAP:
กำหนดค่าพร็อกซีใน Firefox
หากทุกอย่างเป็นไปด้วยดีเราจะส่งทราฟฟิก HTTP ทั้งหมดของเราไปยัง ZAP และจะเปลี่ยนเส้นทางเป็นพร็อกซีใด ๆ ตัวอย่างเช่นฉันเข้าสู่บล็อกนี้จากเบราว์เซอร์และมาดูกันว่าเกิดอะไรขึ้นใน ZAP:
เราจะเห็นว่ามีการสร้างข้อความ HTTP มากกว่า 100 ข้อความ (ส่วนใหญ่ใช้วิธี GET) เพื่อโหลดหน้าเว็บทั้งหมด ดังที่เราเห็นในแท็บ สถานที่ทำวิจัย ไม่เพียง แต่สร้างการเข้าชมไปยังบล็อกนี้ แต่ยังรวมถึงหน้าอื่น ๆ ด้วย หนึ่งในนั้นคือ Facebook และสร้างขึ้นโดยปลั๊กอินโซเชียลที่ด้านล่างของหน้า«ติดตามเราได้ที่ Facebook ". ยังทำ Google Analytics ซึ่งบ่งบอกถึงการมีอยู่ของเครื่องมือดังกล่าวสำหรับการวิเคราะห์และการแสดงภาพสถิติของบล็อกนี้โดยผู้ดูแลระบบของไซต์
นอกจากนี้เรายังสามารถสังเกตรายละเอียดของข้อความ HTTP แต่ละรายการที่แลกเปลี่ยนมาดูการตอบสนองที่สร้างขึ้นโดยเว็บเซิร์ฟเวอร์ของบล็อกนี้เมื่อฉันป้อนที่อยู่ http://desdelinux.net การเลือกคำขอ HTTP GET ตามลำดับ:
รายละเอียดข้อความ HTTP
เราสังเกตว่าก รหัสสถานะ 301 ซึ่งระบุการเปลี่ยนเส้นทางที่มุ่งไปยัง https://blog.desdelinux.net/.
ZAP กลายเป็นทางเลือกที่ยอดเยี่ยมฟรีอย่างสมบูรณ์ เรอสวีท สำหรับพวกเราที่เริ่มต้นในโลกแห่งการรักษาความปลอดภัยบนเว็บที่น่าตื่นเต้นนี้เราจะใช้เวลาหลายชั่วโมงในแนวหน้าของเครื่องมือนี้เพื่อเรียนรู้เทคนิคการแฮ็กเว็บต่างๆ ฉันพกไม่กี่-
นั่นคือสิ่งที่ฉันต้องทำส่วนใหญ่เพื่อพิสูจน์สิ่งที่ฉันทำ
มันน่าสนใจทีเดียว
เครื่องมือนี้ดูสมบูรณ์กว่า Microsoft Network Monitor มาก ผลงานเป็นที่ชื่นชม
ยอดเยี่ยมขอบคุณมากสำหรับข้อมูลและคำอธิบาย
อาศิรพจน์
IMHO ฉันคิดว่าควรปล่อยเครื่องมือเหล่านี้ไว้สำหรับขอบเขตความปลอดภัยและห้ามเผยแพร่ในบล็อก linux มีคนนำไปใช้โดยขาดความรับผิดชอบหรือไม่รู้ตัว
เครื่องมือเหล่านี้มักจะเป็นเครื่องมือสองขอบเนื่องจากถูกใช้โดยสิ่งที่ดีและไม่ดี แต่น่าเสียดายที่ไม่สามารถหลีกเลี่ยงได้ OWASP ZAP เป็นเครื่องมือที่ชุมชน EH ยอมรับในด้านความปลอดภัยของเว็บและใช้สำหรับการตรวจสอบเว็บ จำไว้ว่า "ด้วยพลังอันยิ่งใหญ่มาพร้อมกับความรับผิดชอบที่ยิ่งใหญ่"
ฉันเผยแพร่รายการนี้เนื่องจากฉันกำลังศึกษาการเรียนรู้ด้วยตนเองเพื่อให้บริการ HD ในอนาคตและฉันคิดว่ามันจะเป็นที่สนใจสำหรับผู้อ่านคนอื่น ๆ จุดจบไม่ใช่ว่าพวกเขาใช้มันอย่างผิดกฎหมายน้อยกว่ามากดังนั้นคำเตือนในตอนต้นของโพสต์
สวัสดี!
PD1 ->: ที่น่าสงสัย: Troll ตรวจพบ? ฉันมีข้อสงสัย….
PD2 -> Jhahaha โปรดอย่าทำให้สิ่งนี้กลายเป็นสงครามเปลวไฟจากที่นี่ไปด้านล่างเหมือนในโพสต์อื่น ๆ