El Zed Attack Proxy (ZAP) ay isang libreng kasangkapan na nakasulat sa Java galing sa Proyekto ng OWASP upang maisakatuparan, sa unang pagkakataon, ang mga pagsubok sa pagtagos sa mga web application bagaman maaari rin itong magamit ng mga developer sa kanilang pang-araw-araw na gawain. Tulad ng ngayon ito ay nasa bersyon nito 2.1.0 at mga pangangailangan Java 7 upang tumakbo, kahit na ginagamit ko ito sa Debian GNU / Linux mababa OpenJDK 7. Para sa amin na nagsisimula sa mundo ng seguridad ng aplikasyon sa web, ito ay isang mahusay na tool upang makinis ang aming mga kasanayan.
Kabilang sa maraming mga tampok ng ZAP, Magkomento ako sa mga sumusunod:
- Proxy ng pangharang: Perpekto para sa atin na mga baguhan sa larangan ng seguridad na ito, na-configure sa tamang paraan, pinapayagan itong makita ang lahat ng trapiko sa pagitan ng browser at ng web server ng sandaling ito, na ipinapakita sa isang simpleng paraan ng mga header at katawan ng mga HTTP na mensahe anuman ang ginamit na pamamaraan (ULO, GET, POST, atbp). Bilang karagdagan maaari naming baguhin ang HTTP traffic ayon sa kalooban sa parehong direksyon ng komunikasyon (sa pagitan ng web server at ng browser).
- gagamba: Ito ay isang tampok na makakatulong upang matuklasan ang mga bagong URL sa na-audit na site. Ang isa sa mga paraan ng paggawa nito ay sa pamamagitan ng pag-parse ng HTML code ng pahina upang matuklasan ang mga tag. at sundin ang kanilang mga katangian href
- Pinilit na Pag-browse: Sinusubukan upang matuklasan ang mga hindi naka-index na file at direktoryo sa site tulad ng mga pahina sa pag-login. Upang makamit ito, mayroon itong default na isang serye ng mga diksyunaryo na gagamitin nito upang gumawa ng mga kahilingan sa naghihintay na server code ng katayuan tugon 200.
- Aktibong I-scan: Awtomatikong bumubuo ng iba't ibang mga pag-atake sa web laban sa site tulad ng CSRF, XSS, SQL Injection bukod sa iba pa.
- At marami pang iba: Sa totoo lang maraming iba pang mga tampok tulad ng: Suporta para sa mga web socket mula sa bersyon 2.0.0, AJAX Spider, Fuzzer, at ilang iba pa.
Pag-configure sa Firefox
Maaari naming mai-configure ang socket kung saan makikinig ang ZAP kung pupunta kami Mga tool -> Mga Pagpipilian -> Lokal na Proxy. Sa aking kaso ay nakikinig ako sa port 8018:
Pagkatapos ay buksan namin ang mga kagustuhan sa Firefox at gagawin namin Advanced -> Network -> Configuration -> Manu-manong pagsasaayos ng proxy. Isinasaad namin ang socket na dati naming na-configure sa ZAP:
Kung naging maayos ang lahat, ipapadala namin ang lahat ng aming trapiko sa HTTP sa ZAP at sisingilin ito sa pag-redirect nito tulad ng anumang proxy. Bilang isang halimbawa, ipinasok ko ang blog na ito mula sa browser at nakikita kung ano ang nangyayari sa ZAP:
Maaari naming makita na higit sa 100 mga HTTP na mensahe ang nabuo (karamihan gamit ang pamamaraan ng GET) upang ganap na mai-load ang pahina. Tulad ng nakikita natin sa tab Site Hindi lamang nagawa ang trapiko sa blog na ito, kundi pati na rin sa iba pang mga pahina. Isa sa mga ito ay Facebook at ito ay nabuo ng social plugin sa ilalim ng pahina «Sundan kami sa Facebook ". Ginawa din Google Analytics na nagsasaad ng pagkakaroon ng nasabing tool para sa pagsusuri at paggunita ng mga istatistika ng blog na ito ng mga tagapangasiwa ng site.
Maaari din nating obserbahan nang detalyado ang bawat isa sa mga mensahe ng HTTP na ipinagpapalit, tingnan natin ang tugon na nilikha ng web server ng blog na ito nang ipasok ko ang address http://desdelinux.net pagpili ng kani-kanilang kahilingan sa HTTP GET:
Tandaan namin na a code ng katayuan 301, na nagpapahiwatig ng isang pag-redirect na nakadirekta https://blog.desdelinux.net/.
ZAP ay nagiging isang mahusay na ganap na libreng alternatibo sa Burp Suite Para sa amin na nagsisimula sa kapanapanabik na mundo ng seguridad sa web, tiyak na gugugol kami ng mga oras at oras sa harap ng tool na ito sa pag-aaral ng iba't ibang mga diskarte sa pag-hack sa web, May bitbit ako. ..
Iyon ay isang bagay na kailangan kong gawin, karamihan upang mapatunayan ang ginagawa ko.
Medyo nakakainteres ito
Ang tool na ito ay mukhang mas kumpleto kaysa sa Microsoft Network Monitor. Ang kontribusyon ay pinahahalagahan.
Mahusay, maraming salamat sa impormasyon at paliwanag.
Pagbati.
IMHO, sa palagay ko ang mga tool na ito ay dapat iwanang para sa mga saklaw ng seguridad, at hindi nai-publish sa isang linux blog. Mayroong mga tao na maaaring magamit ito nang walang pananagutan o walang malay.
Ang mga tool ay palaging magiging mga tool na may dalawang talim, dahil ginagamit ito ng mabuti at masama, sa kasamaang palad hindi iyon maiiwasan. Ang OWASP ZAP ay isang tool na kinikilala ng pamayanan ng EH sa larangan ng seguridad sa web at ginagamit para sa mga web audit. Tandaan, "Sa dakilang kapangyarihan ay may malaking responsibilidad."
Nai-publish ko ang entry na ito dahil nag-aaral ako ng self-itinuro na mag-alok ng mga serbisyo sa HD sa hinaharap at naisip kong magiging interesado ito sa ibang mga mambabasa. Ang wakas ay hindi na ginagamit nila ito nang ipinagbabawal, higit na kaunti, samakatuwid ang babala sa simula ng post.
Pagbati!
PD1 ->: that'ssuspicious: Nakita ang troll? Mayroon akong pagdududa….
PD2 -> Jhahaha Mangyaring huwag itong gawing isang giyera mula sa apoy patungo sa ibaba tulad ng sa iba pang mga post.