Проксі-сервер OWASP Zed

El Zed Attack Proxy (ZAP) це безкоштовний інструмент, написаний на Java виходячи з Проект OWASP проводити, в першу чергу, тести на проникнення у веб-додатках, хоча розробники можуть також використовувати їх у своїй щоденній роботі. На сьогодні він перебуває у своїй версії 2.1.0 і потребує Java 7 для запуску, хоча я використовую його в Debian GNU / Linux низький OpenJDK 7. Для тих з нас, хто починає працювати у світі безпеки веб-додатків, це чудовий інструмент для вдосконалення наших навичок.

Серед безлічі особливостей ZAP, Я прокоментую наступне:

• Проксі-сервер перехоплення: Ідеально підходить для тих з нас, хто новачок у цій галузі безпеки, налаштований правильно, він дозволяє бачити весь трафік між браузером та веб-сервером на даний момент, показуючи простими заголовками та тілом повідомлень HTTP незалежно від використовуваний метод (HEAD, GET, POST тощо). До того ж ми можемо змінювати трафік HTTP за власним бажанням в обох напрямках зв'язку (між веб-сервером і браузером).
• Павук: Це функція, яка допомагає знаходити нові URL-адреси на перевіреному сайті. Один із способів це зробити - аналіз HTML-коду сторінки для виявлення тегів. <a> і дотримуйтесь їхніх ознак href.
• Примусовий перегляд: Намагається виявити неіндексовані файли та каталоги на сайті, наприклад сторінки входу. Для цього він за замовчуванням має низку словників, які він буде використовувати для надсилання запитів на сервер очікування код статусу відповідь 200.
• Активне сканування: Автоматично генерує різні веб-атаки на сайт, такі як CSRF, XSS, SQL Injection тощо.
• І багато інших: Насправді є багато інших функцій, таких як: Підтримка веб-сокетів версії 2.0.0, AJAX Spider, Fuzzer та деяких інших.

Налаштування за допомогою Firefox

Ми можемо налаштувати сокет, через який буде прослуховувати ZAP, якщо ми хочемо Інструменти -> Параметри -> Локальний проксі. У моєму випадку він прослуховує порт 8018:

Конфігурація «Локальний проксі»

Потім ми відкриваємо налаштування Firefox і будемо Додатково -> Мережа -> Конфігурація -> Конфігурація проксі вручну. Ми вказуємо сокет, який ми раніше налаштували в ZAP:

Налаштуйте проксі у Firefox

Якщо все пішло добре, ми надішлемо весь наш HTTP-трафік до ZAP, і він буде відповідальний за його перенаправлення, як будь-який проксі. Як приклад, я заходжу в цей блог із браузера і бачу, що відбувається в ZAP:

Огляд ZAP

Ми бачимо, що для повного завантаження сторінки було створено понад 100 повідомлень HTTP (більшість із них використовують метод GET). Як ми бачимо на вкладці сайти Трафік було залучено не лише до цього блогу, але й до інших сторінок. Одним з них є Facebook, і його генерує соціальний плагін внизу сторінки «Слідуйте за нами у Facebook ". Також зробив Google Analytics що вказує на наявність згаданого інструменту для аналізу та візуалізації статистики цього блогу адміністраторами сайту.

Ми також можемо детально спостерігати за кожним обмінюваним повідомленням HTTP, давайте подивимось відповідь, яку створив веб-сервер цього блогу, коли я ввів адресу http://desdelinux.net вибираючи відповідний запит HTTP GET:

Деталь повідомлення HTTP

Ми зазначаємо, що a код статусу 301, що вказує на переспрямування, яке спрямоване на https://blog.desdelinux.net/.

ZAP стає прекрасною абсолютно безкоштовною альтернативою Люкс Burp Для тих з нас, хто починає працювати у цьому захоплюючому світі веб-безпеки, ми, безсумнівно, проведемо години та години перед цим інструментом, вивчаючи різні методи веб-злому, Я ношу кілька. 😛