OWASP Zed攻擊代理

El Zed攻擊代理(ZAP) 是寫在上面的免費工具 Java的 來自(哪裡 OWASP項目 首先在Web應用程序中進行滲透測試,儘管開發人員也可以在日常工作中使用滲透測試。 到目前為止,它的版本為2.1.0,並且需要 Java的7 運行,儘管我在 Debian GNU / LinuxOpenJDK 7。 對於那些剛開始使用Web應用程序安全性的人來說,它是提高我們技能的絕佳工具。

一些功能(例如 主動掃描的) ZAP代理 請勿將其用於非我們的網站或未經我們事先授權的網站,因為它們可能被視為非法活動

在眾多功能中 ZAP公司,我將對以下內容髮表評論:

  • 攔截代理: 以正確的方式配置此安全領域中的新手的理想之選,它可以查看當前瀏覽器與Web服務器之間的所有流量,並以簡單的方式顯示HTTP消息的標頭和正文,無論使用的方法(HEAD,GET,POST等)。 另外我們可以 在兩個通信方向(Web服務器和瀏覽器之間)隨意修改HTTP通信。
  • 蜘蛛: 此功能有助於發現已審核站點上的新URL。 它執行此操作的方法之一是解析頁面的HTML代碼以發現標籤。 並遵循其屬性 href。
  • 強制瀏覽: 它嘗試發現站點上未編入索引的文件和目錄,例如登錄頁面。 為此,默認情況下它具有一系列字典,這些字典將用於向等待的服務器發出請求 狀態碼 反應200。
  • 主動掃描: 它會自動針對該站點生成各種Web攻擊,例如CSRF,XSS,SQL注入。
  • 還有許多其他: 實際上,還有許多其他功能,例如:支持2.0.0版以上的Web套接字,AJAX Spider,Fuzzer以及其他一些功能。

使用Firefox進行配置

如果要執行以下操作,我們可以配置ZAP將通過其監聽的套接字 工具->選項->本地代理。 就我而言,我在端口8018上監聽它:

“本地代理”配置

配置«本地代理»

然後,我們打開Firefox首選項,我們將 高級->網絡->配置->手動代理配置。 我們指示以前在ZAP中配置的套接字:

在Firefox中配置代理

在Firefox中配置代理

如果一切順利,我們將把所有HTTP流量發送到ZAP,這將像其他代理一樣處理重定向。 作為示例,我從瀏覽器輸入此博客,讓我們看看ZAP中發生了什麼:

ZAP概述

ZAP概述

我們可以看到已經生成了100多個HTTP消息(大多數使用GET方法)來完全加載頁面。 正如我們在標籤中看到的 網站 不僅為該博客產生了流量,而且還產生了其他頁面的流量。 其中之一是Facebook,它是由頁面底部的社交插件生成的«在Facebook上關注我們”。 也做了 Google Analytics 表示存在該工具,用於網站管理員對該博客的統計數據進行分析和可視化。

我們還可以詳細觀察交換的每個HTTP消息,讓我們看看當我輸入地址時此博客的Web服務器生成的響應 http://desdelinux.net 選擇其各自的HTTP GET請求:

HTTP消息詳細信息

HTTP消息詳細信息

我們注意到 狀態碼 301,指示重定向到 https://blog.desdelinux.net/.

ZAP公司 成為極好的完全免費的替代產品 打嗝套件 對於那些剛開始在這個令人興奮的網絡安全世界中生活的人們,我們一定會花大量時間在此工具前學習各種網絡黑客技術, 我攜帶一些。 😛


5條評論,留下您的評論

發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。

  1.   納米 他說:

    這是我必須做的事情,比任何事情都更能證明我所做的事情。

    這很有趣

  2.   埃利奧時間3000 他說:

    這個工具看起來比 Microsoft Network Monitor 更完整。 感謝您的貢獻。

  3.   卡珀 他說:

    非常好,非常感謝您提供的信息和解釋。
    問候。

  4.   xavip 他說:

    恕我直言,我認為這些工具應該出於安全目的而保留,而不是發佈在 Linux 博客上。 有些人可能會不負責任或無意識地使用它。

    1.    棕褐色 他說:

      這些工具始終是雙刃工具,因為它們被好人和壞人使用,不幸的是這是無法避免的。 OWASP ZAP 是 Web 安全領域 EH 社區認可的工具,用於 Web 審計。 請記住:“能力越大,責任越大。”

      我發表這篇文章是因為我正在自學,以便將來提供 EH 服務,我認為其他讀者也會對此感興趣。 目的不是他們非法使用它,遠非如此,因此在帖子開頭髮出警告。

      您好!

      PS1 -> :這很可疑:檢測到巨魔? 我有疑問……
      PS2 -> 哈哈哈,請不要讓這從現在開始變成像其他帖子中那樣的激烈戰爭。