Het is ontworpen om te worden gebruikt door beginners in beveiliging of door experts met uitgebreide kennis van beveiliging. Het is zeer belangrijke software voor ontwikkelaars en serverbeheerders die functionele beveiligingspenetratietests willen doen.
Enkele bedrijven die ZAP gebruiken en ermee samenwerken zijn: OWASP, Mozilla, Google, Microsoft en anderen.
Zap kan worden gedownload van de officiële pagina van OWASP Zed Attack Proxy Project, er zijn versies voor verschillende native platforms of een multiplatform in Java.
In dit geval zullen we de Cross-platform of multiplatform-versie gebruiken, die alle versies bevat, die in Java is geprogrammeerd, om het uit te voeren moeten we geïnstalleerd hebben JRE 7 (Java Runtime-omgeving) of hoger.
Eenmaal gedownload, pakken we het bestand uit en voeren het uit zoals elke Java-software, in dit geval gebruiken we Linux.
Vanuit elk besturingssysteem kunnen we uitvoeren vanaf een directe toegang of vanaf een terminal met het commando
java -jar zap-2.4.2.jarWe accepteren de algemene voorwaarden die worden weergegeven bij het starten en gaan naar het hoofdscherm van de software.
We gaan een beveiligingstest uitvoeren, u kunt het domein of het ip van het web gebruiken, in dit geval zullen we het ip 67.222.16.108 gebruiken.
We voegen het IP-adres toe aan het tekstvak URL om aan te vallen en klikken vervolgens op de knop Aanvallen. Na het scannen van alle pagina's die op internet zijn gevonden, verkrijgen we het resultaat.
We kunnen zien dat er enkele kwetsbaarheden zijn gevonden, zoals:
X-Frame, een kwetsbaarheid waarmee je een complete website in een iframe kunt weergeven en zo iemand laat denken dat hij op een website surft terwijl hij in werkelijkheid een andere in het iframe heeft. Stel dat we een website maken, we nemen Facebook op in het ene iframe en een Paypal-formulier in het andere, en simuleren dat Facebook kosten in rekening brengt voor registratie, dus bij elke website zou de betaling daadwerkelijk naar de aanvaller gaan.
Dit type aanval heet clickjacking en het kan worden voorkomen met bijvoorbeeld Javascript door deze code in de tags van het web te plaatsen.
if (top! = zelf) {top.onbeforeunload = functie () {}; top.locatie.replace (zelf.locatie.href); }Een andere kwetsbaarheid die in dit IP wordt gevonden, is dat het geen XSS-beveiliging heeft, dit kan worden geïmplementeerd afhankelijk van de programmeertaal die we gebruiken.
Voorkomen XSS-aanvallen het is gemakkelijk, er zijn veel bibliotheken die in elke webtoepassing kunnen worden gebruikt.
De methode omvat het verifiëren van de gegevens die gebruikers invoeren of van een externe gegevensbron of een parameter die via url is verzonden.
Deze zorgen zijn de enige waar we rekening mee moeten houden om te voorkomen XSS-aanvallen en de beveiliging verhogen die XSS-aanvallen voorkomt, hiervoor moeten we gegevensvalidatie uitvoeren, de gegevens die de applicatie ontvangt controleren en voorkomen dat gevaarlijke code wordt gebruikt of uitgevoerd wanneer gegevens worden ingevoerd.
Voorbeeld functie strip_tag () in php
Deze functie verwijdert elk html-teken dat de variabele $ description bevat, behalve degene die het autoriseert, zoals in dit geval
alinea en dikgedrukt lettertype
,’); SQL-injectietool VERGROTEN Zelfstudies over computerbeveiliging $ beschrijving = strip_tags ($ _ POST [beschrijving], ’
Nu we de eerste analyse hebben bereikt, zullen we verschillende tools en plug-ins gaan toepassen om Fuzzing te doen, het wordt Fuzzing genoemd voor het gebruik van verschillende testtechnieken die gegevens op een massale en sequentiële manier naar de applicatie sturen, om te proberen te detecteren kwetsbaarheden op het web of in de software die we analyseren.
We nemen bijvoorbeeld elke website die mogelijk kwetsbaar is van het type
http: //www.dominio/i… rdetalle & id = 105
In een andere SQLMAP-tutorial, de SQL-injectietool en het hacken van ethische databases, legde hij uit dat een gemakkelijke manier om een te analyseren website te vinden, is om section.php?Id = in de Google-zoekmachine te plaatsen en we zullen duizenden websites zien die kwetsbaar kunnen zijn . Hier heb je het voor het geval je geïnteresseerd bent:
Dan nemen we een van de pagina's, in dit geval de index.php die twee variabelen id en sectie heeft, dan klikken we met de rechtermuisknop op deze pagina.
We gaan naar het menu Aanval en selecteren Fuzz, het Fuzzer-venster wordt geopend en we klikken op het lege tekstvak, dit activeert de knop Toevoegen waarmee we het specifieke type aanval kunnen toevoegen.
Vervolgens zien we het scherm Payloads. De functies of exploit die door software worden geleverd om kwetsbaarheden te testen en te zoeken en fouten op het web te veroorzaken die we controleren, worden Payload genoemd. In dit scherm klikken we op Toevoegen om een Payload toe te voegen.
Hier kunnen we het type aanval selecteren dat moet worden uitgevoerd, het type File fuzzer selecteren en de Payload-injectie kiezen die xss-aanvallen dekt, sql-injectie-aanval onder andere en sql-injectie die alle sql-aanvallen dekt. We kunnen veel verschillende soorten aanvallen toevoegen en testen uit de lijst die Zap ons biedt.
Vervolgens klikken we op toevoegen, vervolgens op Accepteren en klikken op de Start Fuzzer-knop om de audit te starten.
Als resultaat van het scannen met de Payload-injectie Y SQL injectie, hebben we ontdekt dat het web kwetsbaar is voor XSS-aanvallen en dat het ten minste drie gebreken vertoont wanneer het wordt geconfronteerd met risicovolle sql-injecties en het vertelt ons op welke pagina's het probleem zich voordoet.
Een andere analyse die we kunnen uitvoeren, is door de payload van de webserver te selecteren, in dit geval zullen we zien dat we een probleem hebben met sessies en cookies omdat ze kunnen worden gelezen vanuit de browser die we gebruiken.
We gaan bijvoorbeeld een payload toevoegen, we selecteren het domein of de hoofdpagina met de rechterknop en we gaan naar Attack> Fuzz, dan klikken we op Add, dan in het Payload-scherm klikken we op Add, we selecteren File Fuzzer type en in jbrofuzz hebben we Zero Fuzzers geselecteerd.
Na het uitvoeren van de payload zullen we het verkeer naar onze pagina's zien, maar we zullen ook het verkeer zien naar die webpagina's die we hebben gelinkt.
We kunnen in het geval van deze website het verkeer zien dat wordt gegenereerd naar onder andere facebook, twitter, linkedin, google plus en dat zeker de sociale-mediastrategie van deze website vormt. Als we Google Analytics of Google Searh Console hebben (voorheen Webmastertools) Het zal ook verkeer genereren, dus het is niet goed om deze tests te overschrijden, of het is beter om het lokaal te doen, met Google Analytics uitgeschakeld.
Het internet en webapplicaties vergroten dagelijks het aantal gebruikers, dus de vraag naar informatiebeveiligingsexperts en auditors binnen bedrijven is erg belangrijk.
Deze tests zijn niet sluitend, ze zijn slechts een waarschuwing zodat we het onderzoek kunnen verdiepen. Deze aanvalssimulaties en geautomatiseerde scans kunnen een snelle oplossing bieden voor het controleren van websites.
Het is belangrijk dat deze tools met zorg en ethische doeleinden worden gebruikt, aangezien ze ook worden gebruikt door webmasters en degenen die servers en kwaadwillende hackers beheren. OWASP ZAP is een tool die veel wordt gebruikt door mensen die etisch hacken voor hun werk aan het controleren en testen van webbeveiligingstoepassingen.
Voor meer informatie over IT-beveiliging met andere technieken, aanvallen, hacken etc. blijf op de hoogte en deel je kennis hier: