Proxy tấn công Zed của OWASP

El Proxy tấn công Zed (ZAP) là một công cụ miễn phí được viết bằng Java đến từ Dự án OWASP để thực hiện các bài kiểm tra thâm nhập trong các ứng dụng web, mặc dù nó cũng có thể được các nhà phát triển sử dụng trong công việc hàng ngày của họ. Cho đến hôm nay, nó đang ở phiên bản 2.1.0 và cần Java 7 để chạy, mặc dù tôi sử dụng nó trong Debian GNU / Linux dưới OpenJDK 7. Đối với những người trong chúng ta, những người đang bắt đầu trong thế giới bảo mật ứng dụng web, nó là một công cụ tuyệt vời để đánh giá kỹ năng của chúng ta.

Một số tính năng (ví dụ Quét hoạt động) của ZAP-proxy Chúng tôi không nên sử dụng chúng để chống lại các trang web không phải của chúng tôi hoặc chúng tôi không được phép trước để làm như vậy, vì chúng có thể bị coi là các hoạt động bất hợp pháp

Trong số nhiều tính năng của ZAP, Tôi sẽ bình luận về những điều sau:

  • Proxy đánh chặn: Lý tưởng cho những người trong chúng ta, những người mới trong lĩnh vực bảo mật này, được định cấu hình theo cách chính xác, nó cho phép xem tất cả lưu lượng truy cập giữa trình duyệt và máy chủ web tại thời điểm này, hiển thị một cách đơn giản tiêu đề và nội dung của thông báo HTTP bất kể phương pháp được sử dụng (HEAD, GET, POST, v.v.). Ngoài ra chúng tôi có thể sửa đổi lưu lượng HTTP theo ý muốn theo cả hai hướng giao tiếp (giữa máy chủ web và trình duyệt).
  • Nhện: Đây là một tính năng giúp khám phá các URL mới trên trang web được kiểm tra. Một trong những cách nó thực hiện điều này là phân tích cú pháp mã HTML của trang để khám phá các thẻ. và làm theo các thuộc tính của họ href.
  • Duyệt bắt buộc: Nó cố gắng khám phá các tệp và thư mục không được lập chỉ mục trên trang web như các trang đăng nhập. Để đạt được điều này, theo mặc định, nó có một loạt từ điển mà nó sẽ sử dụng để đưa ra yêu cầu tới máy chủ đang chờ mã trạng thái phản hồi 200.
  • Quét hoạt động: Tự động tạo ra các cuộc tấn công web khác nhau chống lại trang web như CSRF, XSS, SQL Injection trong số những người khác.
  • Và nhiều người khác: Trên thực tế có nhiều tính năng khác như: Hỗ trợ các ổ cắm web từ phiên bản 2.0.0, AJAX Spider, Fuzzer và một vài tính năng khác.

Cấu hình với Firefox

Chúng tôi có thể định cấu hình ổ cắm mà qua đó ZAP sẽ lắng nghe nếu chúng tôi định Công cụ -> Tùy chọn -> Proxy cục bộ. Trong trường hợp của tôi, tôi có nó đang nghe trên cổng 8018:

Cấu hình "proxy cục bộ"

Cấu hình «proxy cục bộ»

Sau đó, chúng tôi mở tùy chọn Firefox và chúng tôi sẽ Nâng cao -> Mạng -> Cấu hình -> Cấu hình proxy thủ công. Chúng tôi chỉ ra socket mà chúng tôi đã định cấu hình trước đó trong ZAP:

Định cấu hình proxy trong Firefox

Định cấu hình proxy trong Firefox

Nếu mọi thứ diễn ra tốt đẹp, chúng tôi sẽ gửi tất cả lưu lượng HTTP của mình tới ZAP và nó sẽ chịu trách nhiệm chuyển hướng nó như bất kỳ proxy nào. Ví dụ: tôi nhập blog này từ trình duyệt và xem điều gì sẽ xảy ra trong ZAP:

Tổng quan về ZAP

Tổng quan về ZAP

Chúng ta có thể thấy rằng hơn 100 thông báo HTTP đã được tạo (hầu hết sử dụng phương thức GET) để tải đầy đủ trang. Như chúng ta thấy trong tab Các trang web Lưu lượng truy cập không chỉ được tạo ra cho blog này mà còn cho các trang khác. Một trong số đó là Facebook và nó được tạo bởi plugin xã hội ở cuối trang «Hãy theo dõi chúng tôi trên Facebook". Cũng đã làm Google Analytics cho biết sự hiện diện của công cụ nói trên để phân tích và hiển thị số liệu thống kê của blog này bởi các quản trị viên của trang web.

Chúng tôi cũng có thể quan sát chi tiết từng thông điệp HTTP được trao đổi, hãy xem phản hồi được tạo bởi máy chủ web của blog này khi tôi nhập địa chỉ http://desdelinux.net chọn yêu cầu HTTP GET tương ứng của nó:

Chi tiết tin nhắn HTTP

Chi tiết tin nhắn HTTP

Chúng tôi lưu ý rằng một mã trạng thái 301, chỉ ra một chuyển hướng được hướng tới https://blog.desdelinux.net/.

ZAP trở thành một giải pháp thay thế hoàn toàn miễn phí tuyệt vời cho Suite Burp Đối với những người trong chúng ta, những người đang bắt đầu vào thế giới bảo mật web thú vị này, chắc chắn chúng ta sẽ dành hàng giờ đồng hồ trước công cụ này để học các kỹ thuật hack web khác nhau, Tôi mang một vài. 😛


5 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   nano dijo

    Đó là điều mà tôi phải làm, chủ yếu là để chứng minh những gì tôi làm.

    Nó khá thú vị

  2.   eliotime3000 dijo

    Công cụ này trông hoàn thiện hơn nhiều so với Microsoft Network Monitor. Sự đóng góp được đánh giá cao.

  3.   thợ mộc dijo

    Tuyệt vời, cảm ơn bạn rất nhiều về thông tin và giải thích.
    Chúc mừng.

  4.   xavip dijo

    IMHO, tôi nghĩ rằng các công cụ này nên được để lại cho phạm vi bảo mật và không được xuất bản trên blog linux. Có những người có thể sử dụng nó một cách vô trách nhiệm hoặc vô ý thức.

    1.    pablox dijo

      Công cụ luôn luôn là công cụ hai lưỡi, vì chúng được sử dụng bởi cái tốt và cái xấu, tiếc là không thể tránh khỏi. OWASP ZAP là một công cụ được cộng đồng EH công nhận trong lĩnh vực bảo mật web và được sử dụng để kiểm tra web. Hãy nhớ rằng, "Với quyền lực lớn đi kèm với trách nhiệm lớn."

      Tôi xuất bản mục này vì tôi đang tự học để cung cấp dịch vụ HD trong tương lai và tôi nghĩ rằng nó sẽ được các độc giả khác quan tâm. Cuối cùng không phải là họ sử dụng nó bất hợp pháp, xa nó, do đó cảnh báo ở đầu bài.

      ¡Saludos!

      PD1 ->: that'ssuspicious: Troll được phát hiện? Tôi có nghi ngờ….
      PD2 -> Jhahaha Xin đừng để chuyện này trở thành ngọn lửa war từ đây đến dưới như trong các bài viết khác.