Vadnica OWASP ZAP: Celovit pregled orodja OWASP ZAP

owasp zap tutorial comprehensive review owasp zap tool

Preizkusite Naš Instrument Za Odpravo Težav

Izberite Operacijski Sistem Izberite Program Projekcije (Neobvezno)

Opišite Svoj Problem

Ta vadnica pojasnjuje, kaj je OWASP ZAP, kako deluje, kako namestiti in namestiti ZAP proxy. Vključuje tudi predstavitev preverjanja pristnosti in upravljanja uporabnikov ZAP:

Zakaj uporabljati ZAP za testiranje s peresom?

Če želite razviti varno spletno aplikacijo, morate vedeti, kako jih bodo napadli. Tu prihaja zahteva po varnosti spletne aplikacije ali testiranju penetracije.

Iz varnostnih razlogov podjetja uporabljajo plačljiva orodja, vendar je OWASP ZAP odlična odprtokodna alternativa, ki preizkuševalcem olajša testiranje penetracije.

OWASP ZAP

Kaj se boste naučili:

Kaj je OWASP ZAP?
Kako deluje ZAP?
Preverjanje pristnosti, seje in upravljanje z uporabniki ZAP
Vzorec poročila ZAP Html
Zaključek
- Priporočeno branje

Kaj je OWASP ZAP?

Testiranje penetracije pomaga pri iskanju ranljivosti, preden jih napadalec stori. OSWAP ZAP je odprtokodno brezplačno orodje, ki se uporablja za izvajanje penetracijskih testov. Glavni cilj Zapa je omogočiti enostavno testiranje penetracije za iskanje ranljivosti v spletnih aplikacijah.

Prednosti ZAP:

Zap ponuja večplastne platforme, tj. Deluje v vseh OS (Linux, Mac, Windows)
Zap je za večkratno uporabo
Lahko ustvarja poročila
Idealno za začetnike
Brezplačno orodje

Kako deluje ZAP?

ZAP ustvari proxy strežnik in omogoči, da promet na spletnem mestu poteka skozi strežnik. Uporaba samodejnih skenerjev v ZAP pomaga pri prestrezanju ranljivosti na spletnem mestu.

Za boljše razumevanje glejte ta diagram poteka:

Diagram poteka ZAP

vhod in izhod datoteke c ++

ZAP terminologije

Preden konfigurirate nastavitev ZAP, nam sporočite nekaj terminologij ZAP:

# 1) Seja : Seja preprosto pomeni krmarjenje po spletnem mestu, da prepoznate območje napada. V ta namen lahko uporabite kateri koli brskalnik, kot je Mozilla Firefox, s spreminjanjem nastavitev proxyja. Lahko pa shranimo sejo zap kot .session in jo lahko ponovno uporabimo.

# 2) Kontekst: Pomeni spletno aplikacijo ali nabor URL-jev skupaj. Kontekst, ustvarjen v ZAP, bo napadel določenega in prezrl ostale, da se izogne preveč podatkov.

# 3) Vrste napadov ZAP: Poročilo o ranljivosti lahko ustvarite z različnimi vrstami napadov ZAP, tako da pritisnete in pregledate URL.

Aktivno skeniranje: S pomočjo Zapa lahko izvedemo aktivno skeniranje na več načinov. Prva možnost je Hiter začetek, ki je prisoten na pozdravni strani orodja ZAP. Glejte spodnji posnetek zaslona:

Hitri začetek 1

Hiter začetek 1

Zgornji posnetek zaslona prikazuje najhitrejši način za začetek uporabe ZAP. Vnesite URL pod zavihek Hitri začetek, pritisnite gumb Napad in nato se začne napredek.

Quick Start zažene pajek na določenem URL-ju in nato zažene aktivni optični bralnik. Pajek plazi po vseh straneh, začenši z navedenim URL-jem. Natančneje, stran s hitrim zagonom je kot »usmerite in ustrelite«.

Hitri začetek 2

Hiter začetek 2

Tu se po nastavitvi ciljnega URL-ja napad začne. Stanje napredovanja lahko vidite kot pajkanje URL-ja za odkrivanje vsebine. Napad lahko ročno ustavimo, če traja preveč časa.

Druga možnost za Aktivno skeniranje je, da imamo dostop do URL-ja v brskalniku proxy ZAP, saj ga bo Zap samodejno zaznal. Ko z desno miškino tipko kliknete URL -> Začelo se bo aktivno skeniranje. Ko je iskanje po vsebini končano, se začne aktivno skeniranje.

Napredek napada bo prikazan na zavihku Active scan. in zavihek Spider bo prikazal URL seznama s scenariji napadov. Ko je aktivno skeniranje končano, bodo rezultati prikazani na zavihku Opozorila.

Preverite spodnji posnetek zaslona Aktivno skeniranje 1 in Aktivno skeniranje 2 za jasno razumevanje.

Aktivno skeniranje 1

Aktivno skeniranje

Aktivno skeniranje 2

Aktivno skeniranje 2

# 4) Pajek: Spider identificira URL na spletnem mestu, preveri hiperpovezave in ga doda na seznam.

# 5) Ajax Spider: V primeru, da naša aplikacija močno uporablja JavaScript, poiščite AJAX pajek za raziskovanje aplikacije.Razložil bom Pajek Ajax podrobno v moji naslednji vadnici.

# 6) Opozorila : Ranljivosti spletnih mest so označene kot visoka, srednja in nizka opozorila.

Namestitev ZAP

Zdaj bomo razumeli namestitev ZAP namestitve. Najprej prenesite Zap namestite . Ker uporabljam Windows 10, sem temu primerno prenesel 64-bitni namestitveni program Windows.

Predpogoji za namestitev Zap: Zahtevana je Java 7. Če v vašem sistemu ni nameščena java, jo najprej prenesite. Potem lahko zaženemo ZAP.

Nastavite brskalnik ZAP

Najprej zaprite vse aktivne seje Firefoxa.

Zaženite orodje Zap >> pojdite v meni Orodja >> izberite možnosti >> izberite Lokalni proxy >> tam lahko vidimo naslov kot localhost (127.0.0.1) in vrata kot 8080, lahko pa spremenimo v druga vrata, če že uporablja, recimo, da se spreminjam na 8099. Preverite spodnji posnetek zaslona:

Lokalni proxy v Zap 1

Lokalni proxy v ZAP

Zdaj odprite Mozilla Firefox >> izberite možnosti >> zavihek >> v tem izberite Omrežje >> Nastavitve povezave >> izberite možnost Ročna konfiguracija proxyja. Uporabite ista vrata kot v orodju Zap. V ZAP sem ročno spremenil na 8099 in ga uporabil v brskalniku Firefox. Spodaj si oglejte posnetek zaslona konfiguracije Firefox, nastavljene kot brskalnik proxy.

Nastavitev strežnika proxy za Firefox 1

Nastavitev Firefox zap

Poskusite povezati svojo aplikacijo z brskalnikom. Tukaj sem se poskusil povezati Facebook in piše, da vaša povezava ni varna. Zato morate dodati izjemo in nato potrditi varnostno izjemo za navigacijo na Facebook stran. Oglejte si spodnje posnetke zaslona:

Dostop do spletne strani -proxy brskalnik 1

Dostop do spletne strani -proxybrowser1

Dostop do spletne strani -proxy brskalnik 2

Dostop do spletne strani -proxybrowser2

Dostop do spletne strani -proxy brskalnik 3

Dostop do spletne strani -proxy brskalnik3

Hkrati na zavihku Zapove strani preverite ustvarjeno novo sejo za Facebook stran. Ko ste uspešno povezali svojo aplikacijo, lahko vidite več vrstic na zavihku zgodovine ZAP.

Zap običajno ponuja dodatne funkcije, do katerih lahko dostopate z meniji z desnim klikom, na primer,

Z desno tipko miške kliknite >> HTML >> aktivno skeniranje, nato bo zap izvedel aktivno skeniranje in prikazal rezultate.

Če aplikacije ne morete povezati z brskalnikom, znova preverite nastavitve proxyja. Preveriti boste morali nastavitve brskalnika in namestitvenega strežnika ZAP.

Ustvarjanje poročil v ZAP

Po končanem aktivnem pregledovanju lahko ustvarimo poročila. Za to kliknite OWASP ZAP >> Poročilo >> ustvari poročila HTML >> zagotovljena pot do datoteke >> izvoženo poročilo o skeniranju. Poročila moramo preučiti, da prepoznamo vse možne grožnje in jih popraviti.

Preverjanje pristnosti, seje in upravljanje z uporabniki ZAP

Pojdimo na drugo funkcijo Zap, ki skrbi za preverjanje pristnosti, upravljanje sej in uporabnikov. Prosim, obvestite me o kakršni koli poizvedbi, ki se vam poraja, v zvezi s tem kot komentarji.

Osnovni koncepti

Kontekst : Predstavlja spletno aplikacijo ali nabor URL-jev skupaj. Za dani kontekst so dodani novi zavihki za prilagajanje in konfiguriranje postopka preverjanja pristnosti in upravljanja sej. Možnosti so na voljo v pogovornem oknu z lastnostmi seje. Tj. Pogovorno okno z lastnostmi seje -> Kontekst -> lahko uporabite privzeto možnost ali dodate novo ime konteksta.
Način upravljanja seje: Obstajata 2 vrsti metod upravljanja sej. V glavnem se uporablja upravljanje sej na osnovi piškotkov, povezano s kontekstom.
Način preverjanja pristnosti: ZAP uporablja večinoma 3 vrste metode Auth:
- Metoda preverjanja pristnosti na podlagi obrazca
- Ročna overitev
- Preverjanje pristnosti HTTP
Upravljanje uporabnikov: Ko je shema za preverjanje pristnosti konfigurirana, lahko za vsak kontekst določite nabor uporabnikov. Ti uporabniki se uporabljajo za različna dejanja ( Na primer, Spider URL / kontekst kot uporabnik Y, pošlji vse zahteve kot uporabnik X). Kmalu bo na voljo več dejanj, ki uporabnike uporabljajo.

Izvedena je razširitev »Prisilni uporabnik«, ki nadomešča staro razširitev overjanja, ki je izvajala ponovno overjanje. V orodni vrstici je zdaj na voljo način „Prisilni uporabnik“ (enaka ikona kot stara razširitev za preverjanje pristnosti).

Po nastavitvi uporabnika kot »Prisilnega uporabnika« za dani kontekst ali ko je omogočena, se vsaka zahteva, poslana prek ZAP, samodejno spremeni, tako da je poslana za tega uporabnika. Ta način samodejno izvede tudi ponovno avtentikacijo (zlasti v povezavi z avtentifikacijo na podlagi obrazca), če avtentikacija ne obstaja, se zazna »odjavljen«.

Oglejmo si predstavitev:

Korak 1:

Najprej zaženite ZAP in odprite URL v brskalniku proxy. Tu sem vzel vzorčni URL kot https://tmf-uat.iptquote.com/login.php . Kliknite Napredno -> dodaj izjemo -> potrdite varnostno izjemo kot na straneh 6 in 7. Nato se prikaže ciljna stran. Istočasno ZAP samodejno naloži spletno stran pod Sites kot novo sejo. Glejte spodnjo sliko.

Nova zap seja

najboljša programska oprema za pretvorbo video datotek

2. korak:

Vključite ga v kontekst. To lahko storite tako, da ga vključite v privzeti kontekst ali dodate kot nov kontekst. Glejte spodnjo sliko.

2. korak

3. korak:

Zdaj je metoda preverjanja pristnosti. Preverjanje pristnosti si lahko ogledate v samem pogovornem oknu lastnosti te seje. Tu uporabljamo metodo Auth, ki temelji na obrazcu.

Moral bi biti kot authMethodParams kot ' URL za prijavo = https: //tmf-uat.iptquote.com/login.php&loginRequestData=username=superadmin&password=primo868&proceed=login ”

V našem primeru moramo način overjanja nastaviti kot obrazec. Za to izberite ciljni URL, polje za podatke o zahtevi za prijavo se vnaprej izpolni, nato spremenite parameter kot uporabniško ime in geslo -> kliknite v redu .

3. korak

4. korak:

Zdaj nastavite kazalnike, ki bodo povedali ZAP, kdaj je preverjena pristnost.

Kazalniki prijavljeni in odjavljeni:

Potreben je samo en
Nastavimo lahko vzorce regularnih izrazov, ki se ujemajo v odzivnem sporočilu, nastaviti moramo indikator za prijavo ali odjavo.
Ugotovite, kdaj je odgovor preverjen ali ne.
Primer za prijavljeni indikator: Qhttp: // primer / odjava E ali Dobrodošli uporabnik. *
Primer indikatorja odjave: login.jsp ali kaj podobnega.

Tukaj sem v naši predstavitveni aplikaciji dostopal do URL-ja v brskalniku proxy. V aplikacijo ste prijavljeni z veljavno poverilnico, Uporabniško ime kot superadmin in Geslo kot primo868. Pomikajte se po notranjih straneh in kliknite na odjavo

Na posnetku zaslona 3. koraka lahko vidite, da Zap podatke o zahtevi za prijavo uporabi kot podatke, ki se uporabljajo za prijavo v aplikacijo TMF (Demo application login).

Označi prijavljeni vzorec Regex iz Response of ZAP kot Response -> odjavljen odgovor -> označi ga kot prijavljenega v indikatorju. Nanašati se na spodnji posnetek zaslona

4. korak

5. korak:

Kazalnik lahko shranimo in preverimo, ali se pogovorno okno z lastnostmi seje doda z prijavljenim indikatorjem ali ne. Glejte spodnji posnetek zaslona:

5. korak

6. korak:

Dodati moramo uporabnike, veljavne in neveljavne uporabnike. Uporabite napadi pajkov na oba in analizirajte rezultate.

Veljaven uporabnik:

6. korak - veljaven uporabnik

Neveljaven uporabnik:

step6 -neveljaven uporabnik

7. korak:

Privzeto nastavite upravljanje sej kot metodo, ki temelji na piškotkih.

7. korak

8. korak:

Napad URL Spider se uporablja za neveljavne in veljavne uporabnike ter pregleduje rezultate / ustvarja poročila.

Neveljaven pogled uporabniškega napada pajka 1:

korak 8 neveljaven uporabnik

Tukaj je napad neveljavnega uporabnika uporabljen s pajkovim URL-jem. V vmesniku ZAP lahko vidimo Get: login.php (error _message), kar pomeni, da preverjanje pristnosti ni uspelo. Prav tako URL-jev ne posreduje skozi notranje strani TMF.

9. korak:

Če želite uporabiti napad pajkovega URL-ja za veljavnega uporabnika, pojdite na seznam spletnih mest -> napad -> pajkov URL -> obstoječi veljavni uporabnik -> tukaj je privzeto omogočen -> zaženi pregled.

Analizirajte rezultate: Ker je veljaven overjen uporabnik, bo krmaril po vseh notranjih straneh in stanje preverjanja pristnosti prikazal kot uspešno. Glejte spodnji posnetek zaslona.

Veljaven uporabnik

Veljavni uporabnik v koraku 9

Vzorec poročila ZAP Html

Ko je aktivno skeniranje končano, lahko za njega ustvarimo poročilo HTML. Za to izberite Poročilo -> Ustvari poročilo HTML. Priložil sem vzorčno vsebino poročil HTML. Tu bodo ustvarjena poročila o visokih, srednjih in nizkih opozorilih.

Opozorila

Opozorila

Zaključek

V tej vadnici smo videli, kaj je ZAP, kako deluje ZAP, namestitev in nastavitev proxyja ZAP. Različne vrste procesov aktivnega skeniranja, predstavitev avtentikacije ZAP, upravljanje sej in uporabnikov ter osnovne terminologije. V naslednji vadnici bom razložil o napadu pajka Ajax, uporabi piščancev, prisilnih brskanih straneh.

Če ste uporabili napadalni strežnik Zed in imate nekaj zanimivih nasvetov, jih delite v spodnjih komentarjih.

Reference:

Vadnica OWASP ZAP: Celovit pregled orodja OWASP ZAP

Kaj je OWASP ZAP?

Kako deluje ZAP?

ZAP terminologije

Namestitev ZAP

Nastavite brskalnik ZAP

Ustvarjanje poročil v ZAP

Preverjanje pristnosti, seje in upravljanje z uporabniki ZAP

Vzorec poročila ZAP Html

Zaključek

Priporočeno branje

Zanimivi Članki

Izbira Urednika

Obzornik: Sin Mora

Top 5 najboljših N64 iger vseh časov, razvrščenih

Kako bi bil moj prvi dan v službi za preizkuševalce kakovosti? Katero je najboljše certificiranje kakovosti? Katero orodje za avtomatizacijo naj se naučim? - Vse odgovorjeno

Pregled: DiRT 4

Roka: 'Jimmyjeva izdaja' v Mafiji II

PlayStation Plus ima šest iger za november in čas je, da jih zahtevate

Klonom Wordle manjka tisto, zaradi česar je izvirnik velik: njegova povezovalna moč

Tukaj je podrobnejši pogled na nekatere Pokémone, ki se pojavljajo v Scarlet & Violet DLC

Najboljših 11 NAJBOLJŠIH storitev v oblaku za avtomatizacijo poslovanja

Amazon Prime Gaming ima na voljo sedem brezplačnih iger, ki jih lahko zahtevate marca

Bloodstained: Ritual of the Night bo naslednji teden dobil križanec Journey

Kateri so novi začetni Pokémoni v Scarlet & Violet?