Dizajniran je tako da ga koriste početnici u sigurnosti ili stručnjaci s opsežnim znanjem o sigurnosti. To je vrlo važan softver za programere i administratore poslužitelja koji žele napraviti funkcionalne testove sigurnosti.
Neke tvrtke koje koriste i surađuju sa ZAP -om su: OWASP, Mozilla, Google, Microsoft i drugi.
Zap se može preuzeti sa službene stranice OWASP Zed Attack Proxy Project, postoje verzije za različite izvorne platforme ili višeplatformnu platformu u Javi.
U ovom slučaju koristit ćemo Cross platformu ili višeplatformnu verziju, koja sadrži sve verzije, koja je programirana u Javi, da bismo je pokrenuli morat ćemo imati instaliranu JRE 7 (Java Runtime Environment) ili više.
Nakon preuzimanja raspakiramo datoteku i pokrećemo je kao i svaki Java softver, u ovom slučaju koristimo Linux.
Iz bilo kojeg operacijskog sustava možemo izvršiti izravni pristup ili terminal pomoću naredbe
java -jar zap -2.4.2.jarPrihvaćamo odredbe i uvjete prikazane pri pokretanju i prelazimo na glavni zaslon softvera.
Provest ćemo sigurnosni test, možete koristiti domenu ili ip weba. U ovom slučaju koristit ćemo ip 67.222.16.108.
Dodamo IP u URL za tekstualni okvir za napad, a zatim kliknite gumb Napad. Nakon skeniranja svih stranica koje se nalaze na webu dobit ćemo rezultat.
Možemo vidjeti da su otkrivene neke ranjivosti, kao što su:
X-Frame, koja je ranjivost koja vam omogućuje da prikažete cijelu web stranicu u iframe-u i tako natjerate nekoga da pomisli da pregledava web stranicu kada zapravo ima drugu koja je uključena u iframe. Pretpostavimo da stvorimo web stranicu, uključimo Facebook u jedan iframe, a Paypal obrazac u drugi, simulirajući da se Facebook naplaćuje za registraciju, pa bi sa bilo koje web stranice uplata zapravo išla napadaču.
Ova vrsta napada naziva se jahanje klikova a to se može spriječiti na primjer pomoću Javascripta stavljanjem ovog koda u oznake na webu.
if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }Još jedna ranjivost koja se nalazi u ovom IP -u je ta što nema XSS zaštitu, što se može implementirati ovisno o programskom jeziku koji koristimo.
Izbjegavajte XSS napadi jednostavno je mnogo biblioteka za korištenje u bilo kojoj web aplikaciji.
Metoda uključuje provjeru podataka koje korisnici unose ili iz bilo kojeg vanjskog izvora podataka ili bilo kojeg parametra koji je poslao url.
Ove brige su jedine koje moramo uzeti u obzir kako bismo ih spriječili XSS napadi i povećati sigurnost koja sprječava XSS napade, za to moramo izvršiti provjeru valjanosti podataka, kontrolirati podatke koje aplikacija prima i spriječiti korištenje ili izvršavanje opasnog koda pri unosu podataka.
Primjer funkcije strip_tag () u php -u
Ova funkcija uklanja svaki html znak koji sadrži varijablu $ description, osim onih koje ovlašćuje, kao u ovom slučaju
stavak i podebljani font
,’); Alat za ubrizgavanje SQL -a POVEĆAJTE Tutoriali o računalnoj sigurnosti $ description = strip_tags ($ _ POST [opis], ’
Sada kada smo postigli prvu analizu, počet ćemo primjenjivati različite alate i dodatke za obavljanje Fuzzinga, to se naziva Fuzzing za korištenje različitih tehnika testiranja koji šalju podatke aplikaciji na masivan i sekvencijalni način, kako bismo pokušali otkriti ranjivosti na webu ili u softveru koji analiziramo.
Na primjer, uzimamo bilo koju web stranicu koja je potencijalno ranjiva
http: //www.dominio/i… rdetalle & id = 105
U drugom SQLMAP vodiču, alatu za ubrizgavanje SQL -a i hakiranju etičke baze podataka objasnio je da je jednostavan način za pronalaženje web stranice za analizu staviti section.php? Id = u Google tražilicu i vidjet ćemo tisuće web stranica koje bi mogle biti ranjive . Evo ga ako ste zainteresirani:
Zatim uzmemo jednu od stranica, u ovom slučaju index.php koji ima dvije varijable id i odjeljak, pa desnom tipkom miša kliknite ovu stranicu.
Idemo na izbornik Attack i odabiremo Fuzz, otvara se prozor Fuzzer i kliknemo na prazan okvir za tekst, to će aktivirati gumb Dodaj koji će nam omogućiti dodavanje određene vrste napada.
Zatim ćemo vidjeti zaslon Korisni tereti. Funkcije ili iskorištavanje koje softver pruža za testiranje i traženje ranjivosti te izazivanje pogrešaka na webu koje pregledavamo naziva se Payload. Na ovom ekranu kliknemo Dodaj za dodavanje korisnog tereta.
Ovdje možemo odabrati vrstu napada koji će se izvesti, izabrati vrstu miksera datoteke i odabrati Ubrizgavanje korisnog tereta koje pokriva xss napade, sql injekcijski napad između ostalih i sql injekciju koja pokriva sve sql napade. Možemo dodati i testirati mnoge različite vrste napada s popisa koji nam nudi Zap.
Zatim kliknemo na dodaj, zatim na Prihvati i kliknite gumb Pokreni fuzer da započnete reviziju.
Kao rezultat skeniranja s Injekcija korisnog tereta Y SQL Injection, otkrili smo da je web ranjiv na XSS napade i da ima najmanje tri nedostatka kada se suoči s visokorizičnim sql injekcijama i govori nam na kojim je stranicama problem.
Druga analiza koju možemo izvršiti je odabirom korisnog opterećenja web poslužitelja, u ovom slučaju vidjet ćemo da imamo problem sa sesijama i kolačićima jer se oni mogu čitati iz preglednika koji koristimo.
Na primjer, dodat ćemo korisni teret, desnom tipkom odabiremo domenu ili glavnu stranicu i idemo na Attack> Fuzz, zatim kliknemo Add, zatim na ekranu Payload pritisnemo Add, odaberemo File Fuzzer type a u jbrofuzzu smo odabrali Zero Fuzzers.
Nakon izvršavanja korisnog tereta vidjet ćemo promet na našim stranicama, ali ćemo vidjeti i promet na onim web stranicama koje smo povezali.
U slučaju ove web stranice možemo vidjeti promet generiran na facebook, twitter, linkedin, google plus, među ostalima koji zasigurno čine strategiju društvenih medija ove web stranice. Ako imamo Google Analytics ili Google Searh Console (ranije Webmastertools) Također će generirati promet, pa nije dobro prekoračiti ove testove, ili je bolje to učiniti lokalno, s onemogućenom Google analitikom.
Internet i web aplikacije svakodnevno povećavaju broj korisnika, pa je potražnja za stručnjacima za informacijsku sigurnost i revizorima unutar tvrtki vrlo važna.
Ovi testovi nisu konačni, oni su samo upozorenje kako bismo mogli produbiti istragu. Ove simulacije napada i automatizirano skeniranje mogu pružiti brzo rješenje za reviziju web stranica.
Važno je da se ti alati koriste s pažnjom i u etičke svrhe jer ih koriste i webmasteri te oni koji upravljaju poslužiteljima i zlonamjernim hakerima. OWASP ZAP je alat koji naširoko koriste oni koji se bave etičkim hakiranjem za svoj rad na aplikacijama za reviziju i testiranje web sigurnosti.
Za više informacija o IT sigurnosti s drugim tehnikama, napadima, hakiranjem itd. budite u toku i podijelite svoje znanje ovdje: