OWASP Zed Saldırı Proxy'si

El Zed Saldırı Proxy'si (ZAP) yazılmış ücretsiz bir araçtır Java gelen OWASP projesi geliştiriciler tarafından günlük işlerinde de kullanılabilmesine rağmen, öncelikle web uygulamalarında sızma testleri gerçekleştirmek. Bugün itibariyle 2.1.0 sürümünde ve Java 7 koşmak için kullansam da Debian GNU / Linux düşük OpenJDK 7. Web uygulama güvenliği dünyasına başlayan bizler için, becerilerimizi geliştirmek için mükemmel bir araçtır.

Birçok özelliği arasında ZAP, Aşağıdakiler hakkında yorum yapacağım:

• Engelleme vekili: Bu güvenlik alanında yeni başlayanlar için ideal, doğru şekilde yapılandırılmış, tarayıcı ile o anki web sunucusu arasındaki tüm trafiği görmeyi sağlar, HTTP başlıklarını ve gövdesini basit bir şekilde gösterir. kullanılan yöntemden (HEAD, GET, POST, vb.) bağımsız olarak mesajlar. Ek olarak yapabiliriz HTTP trafiğini iletişimin her iki yönünde (web sunucusu ile tarayıcı arasında) istediğiniz zaman değiştirin.
• Örümcek: Denetlenen sitede yeni URL'lerin keşfedilmesine yardımcı olan bir özelliktir. Bunu yapmanın yollarından biri, etiketleri keşfetmek için sayfanın HTML kodunu ayrıştırmaktır. ve özelliklerini takip edin href.
• Zorunlu Tarama: Giriş sayfaları gibi sitedeki indekslenmemiş dosyaları ve dizinleri keşfetmeye çalışır. Bunu başarmak için varsayılan olarak, bekleme sunucusuna istekte bulunmak için kullanacağı bir dizi sözlüğe sahiptir. durum kodu cevap 200.
• Aktif Tarama: Diğerlerinin yanı sıra CSRF, XSS, SQL Injection gibi siteye karşı otomatik olarak farklı web saldırıları oluşturur.
• Ve bircok digerleri: Aslında, 2.0.0 sürümünden web soketleri desteği, AJAX Spider, Fuzzer ve birkaç başka özellik vardır.

Firefox ile yapılandırma

ZAP'ın dinleyeceği soketi yapılandırabiliriz. Araçlar -> Seçenekler -> Yerel Proxy. Benim durumumda 8018 numaralı bağlantı noktasında dinlemem var:

Yapılandırma «Yerel proxy»

Ardından Firefox tercihlerini açıyoruz ve Gelişmiş -> Ağ -> Yapılandırma -> El ile proxy yapılandırması. Daha önce ZAP'ta yapılandırdığımız soketi belirtiyoruz:

Firefox'ta proxy yapılandırın

Her şey yolunda gittiyse, tüm HTTP trafiğimizi ZAP'ye göndereceğiz ve herhangi bir proxy'nin yapacağı gibi yönlendirecektir. Örnek olarak bu bloga tarayıcıdan giriyorum ve bakalım ZAP'de neler oluyor:

ZAP'ye genel bakış

Sayfayı tam olarak yüklemek için 100'den fazla HTTP mesajının (çoğu GET yöntemini kullanan) üretildiğini görebiliriz. Sekmede gördüğümüz gibi Yer Sadece bu bloga değil, diğer sayfalara da trafik oluşturuldu. Bunlardan biri Facebook ve sayfanın altındaki sosyal eklenti tarafından oluşturuldu «Bizi Facebook'ta takip et". Ayrıca yaptı Google Analytics bu, site yöneticileri tarafından bu blogun istatistiklerinin analizi ve görselleştirilmesi için söz konusu aracın varlığını gösterir.

Ayrıca, değiştirilen HTTP mesajlarının her birini ayrıntılı olarak gözlemleyebiliriz, adresi girdiğimde bu blogun web sunucusu tarafından oluşturulan yanıtı görelim. http://desdelinux.net ilgili HTTP GET isteğini seçme:

HTTP mesaj ayrıntısı

Not ediyoruz ki durum kodu 301, yönlendirilen bir yönlendirmeyi gösterir. https://blog.desdelinux.net/.

ZAP mükemmel ve tamamen ücretsiz bir alternatif haline gelir Burp Süiti Bu heyecan verici web güvenliği dünyasına başlayan bizler için, farklı web hackleme tekniklerini öğrenmek için bu aracın ön saflarında kesinlikle saatler harcayacağız. Birkaç tane taşıyorum. 😛