owasp zap tutorial comprehensive review owasp zap tool
Aquest tutorial explica què és OWASP ZAP, com funciona, com instal·lar i configurar el servidor intermediari ZAP. També inclou la demostració d’autenticació ZAP i gestió d’usuaris:
Per què utilitzar ZAP per a proves de bolígrafs?
Per desenvolupar una aplicació web segura, cal saber com seran atacats. Aquí ve el requisit de seguretat de les aplicacions web o proves de penetració.
Per motius de seguretat, les empreses utilitzen eines de pagament, però OWASP ZAP és una gran alternativa de codi obert que facilita les proves de penetració per als verificadors.
Què aprendreu:
- Què és OWASP ZAP?
- Com funciona ZAP?
- Autenticació ZAP, sessió i gestió d'usuaris
- Mostra d'informe ZAP Html
- Conclusió
Què és OWASP ZAP?
Les proves de penetració ajuden a trobar vulnerabilitats abans que ho faci un atacant. OSWAP ZAP és una eina lliure de codi obert que s’utilitza per realitzar proves de penetració. L’objectiu principal de Zap és permetre proves de penetració fàcils per trobar les vulnerabilitats de les aplicacions web.
Avantatges de ZAP:
- Zap proporciona multiplataforma, és a dir, funciona en tots els sistemes operatius (Linux, Mac, Windows)
- Zap és reutilitzable
- Pot generar informes
- Ideal per a principiants
- Eina gratuïta
Com funciona ZAP?
ZAP crea un servidor intermediari i fa que el trànsit del lloc web passi pel servidor. L’ús d’escàners automàtics a ZAP ajuda a interceptar les vulnerabilitats del lloc web.
Consulteu aquest diagrama de flux per obtenir una millor comprensió:
fig_cropper.swf com obrir
Terminologies ZAP
Abans de configurar la configuració de ZAP, entenem algunes terminologies de ZAP:
# 1) Sessió : Sessió significa simplement navegar pel lloc web per identificar l'àrea d'atac. Amb aquest propòsit, es pot utilitzar qualsevol navegador com Mozilla Firefox canviant la configuració del servidor intermediari. O bé, podem desar la sessió zap com a .session i es pot reutilitzar.
# 2) Context: Significa una aplicació web o un conjunt d’URL junts. El context creat al ZAP atacarà l’especificat i ignorarà la resta, per evitar massa dades.
# 3) Tipus d'atacs ZAP: Podeu generar un informe de vulnerabilitat utilitzant diferents tipus d’atac ZAP, prement i escanejant l’URL.
Exploració activa: Podem realitzar una exploració activa amb Zap de moltes maneres. La primera opció és la Començament ràpid, que es troba a la pàgina de benvinguda de l'eina ZAP. Consulteu la captura de pantalla següent:
Inici ràpid 1
La captura de pantalla anterior mostra la manera més ràpida de començar amb ZAP. Introduïu l'URL a la pestanya Inici ràpid, premeu el botó Atac i, a continuació, s'inicia el progrés.
Quick Start executa l'aranya a l'URL especificat i, a continuació, executa l'escàner actiu. Una aranya rastreja a totes les pàgines a partir de l'URL especificat. Per ser més precisos, la pàgina d'inici ràpid és com 'apuntar i disparar'.
Inici ràpid 2
Aquí, en establir l’URL objectiu, comença l’atac. Podeu veure l'estat de Progrés com a URL d'aranya per descobrir contingut. Podem aturar manualment l’atac si triga massa temps.
Una altra opció per al Exploració activa és que podem accedir a l'URL al navegador del servidor intermediari ZAP, ja que Zap el detectarà automàticament. En fer clic amb el botó dret a l'URL -> s'iniciarà l'escaneig actiu. Un cop completat el rastreig, s'iniciarà l'escaneig actiu.
El progrés de l'atac es mostrarà a la pestanya Escaneig actiu. i la pestanya Aranya mostrarà l'URL de la llista amb escenaris d'atac. Un cop finalitzada l'escaneig actiu, es mostraran els resultats a la pestanya Alertes.
Comproveu la captura de pantalla següent de Escaneig actiu 1 i Escaneig actiu 2 per a una comprensió clara.
Exploració activa 1
Exploració activa 2
# 4) Aranya: Spider identifica l’URL del lloc web, comprova si hi ha hiperenllaços i l’afegeix a la llista.
# 5) Aranya Ajax: En el cas que la nostra aplicació faci un ús intensiu de JavaScript, busqueu AJAX spider per explorar l'aplicació.Vaig a explicar el Aranya Ajax en detall al meu proper tutorial.
# 6) Alertes : Les vulnerabilitats del lloc web es marquen com a alertes altes, mitjanes i baixes.
Instal·lació de ZAP
Ara entendreem la configuració de la instal·lació de ZAP. Primer, descarregueu el fitxer Instal·lar Zap . Com que estic fent servir Windows 10, he descarregat l'instal·lador de Windows de 64 bits en conseqüència.
Requisits previs per a la instal·lació de Zap: Cal Java 7. Si no teniu Java instal·lat al vostre sistema, obteniu-lo primer. Després podem llançar ZAP.
Configureu el navegador ZAP
En primer lloc, tanqueu totes les sessions actives del Firefox.
Inicieu l'eina Zap >> aneu al menú Eines >> seleccioneu opcions >> seleccioneu servidor intermediari local >> allà podem veure l'adreça com a localhost (127.0.0.1) i el port com a 8080, podem canviar a un altre port si ja està utilitzant, diguem que estic canviant a 8099. Comproveu la captura de pantalla següent:
Proxy local a Zap 1
Ara, obriu Mozilla Firefox >> seleccioneu opcions >> pestanya avançada >> en què seleccioneu Xarxa >> Configuració de connexió >> seleccioneu l'opció Configuració manual del servidor intermediari. Utilitzeu el mateix port que a l'eina Zap. He canviat manualment a 8099 a ZAP i he fet servir el mateix al navegador Firefox. Comproveu a continuació la captura de pantalla de la configuració de Firefox configurada com a navegador proxy.
Configuració del servidor intermediari de Firefox 1
Proveu de connectar la vostra aplicació mitjançant el navegador. Aquí he intentat connectar-me Facebook i diu que la vostra connexió no és segura. Per tant, heu d’afegir una excepció i confirmar l’excepció de seguretat per navegar a la pàgina de Facebook. Consulteu les captures de pantalla següents:
Accediu a la pàgina web: navegador Proxy 1
Accediu a la pàgina web -proxy browser 2
Accediu a la pàgina web: navegador Proxy 3
Al mateix temps, a la pestanya Llocs de Zap, consulteu la nova sessió creada per a la pàgina de Facebook. Quan hàgiu connectat correctament l'aplicació, podreu veure més línies a la pestanya d'historial de ZAP.
Normalment, Zap proporciona una funcionalitat addicional a la qual es pot accedir mitjançant menús del botó dret, com ara
Feu clic amb el botó dret a >> HTML >> escaneig actiu i, a continuació, zap realitzarà escaneig actiu i mostrarà els resultats.
Si no podeu connectar l'aplicació mitjançant el navegador, torneu a comprovar la configuració del servidor intermediari. Haureu de comprovar la configuració del servidor intermediari ZAP i del navegador.
Generació d'informes a ZAP
Un cop fet l'escaneig actiu, podem generar informes. Per a això, feu clic a OWASP ZAP >> Informe >> genera informes HTML >> ruta del fitxer proporcionada >> informe d'exploració exportat. Hem d’examinar els informes per identificar totes les possibles amenaces i solucionar-les.
Autenticació ZAP, sessió i gestió d'usuaris
Passem a una altra funció Zap, que gestiona l'autenticació, la sessió i la gestió d'usuaris. Feu-me saber qualsevol consulta que us vingui al cap relacionada amb això com a comentaris.
Conceptes bàsics
- Context : Representa una aplicació web o un conjunt d'URL junts. Per a un context determinat, s'afegeixen noves pestanyes per personalitzar i configurar l'autenticació i el procés de gestió de sessions. Les opcions estan disponibles al diàleg de propietats de la sessió. És a dir, diàleg de propietats de la sessió -> Context -> podeu utilitzar l'opció predeterminada o afegir un nou nom de context.
- Mètode de gestió de sessions: Hi ha 2 tipus de mètodes de gestió de sessions. Majoritàriament, s’utilitza la gestió de sessió basada en cookies, associada al context.
- Mètode d'autenticació: Hi ha principalment 3 tipus de mètodes Auth utilitzats per ZAP:
- Mètode d'autenticació basat en formularis
- Autenticació manual
- Autenticació HTTP
- Gestió d'usuaris: Un cop configurat l’esquema d’autenticació, es pot definir un conjunt d’usuaris per a cada context. Aquests usuaris s'utilitzen per a diverses accions ( Per exemple, URL / context Spider com a usuari Y, envieu totes les sol·licituds com a usuari X). Aviat, es proporcionaran més accions que facin ús dels usuaris.
S'implementa una extensió 'Usuari forçat' per substituir l'antiga extensió d'autenticació que realitzava la autenticació. Ara hi ha disponible el mode ‘Usuari forçat’ a través de la barra d’eines (la mateixa icona que l’antiga extensió d’autenticació).
Després de configurar un usuari com a 'Usuari forçat' per a un context determinat o quan està activat, cada sol·licitud enviada a través de ZAP es modifica automàticament de manera que s'enviï per a aquest usuari. Aquest mode també realitza la re-autenticació automàticament (especialment juntament amb l’autenticació basada en formularis) si hi ha una manca d’autenticació, es detecta “tancada la sessió”.
Vegem una demostració:
Pas 1:
Primer, inicieu ZAP i accediu a l'URL al navegador proxy. Aquí he pres l’URL de mostra com a https://tmf-uat.iptquote.com/login.php . Feu clic a Avançat -> Afegeix una excepció -> confirmeu l'excepció de seguretat com a les pàgines 6 i 7. A continuació, es mostrarà la pàgina de destinació. Al mateix temps, ZAP carrega automàticament la pàgina web a Llocs com a nova sessió. Consulteu la imatge següent.
Pas 2:
Incloeu-lo en un context. Això es pot fer incloent-lo en un context predeterminat o afegint-lo com a context nou. Consulteu la imatge següent.
Pas 3:
Ara, el següent és el mètode d’autenticació. Podeu veure l'autenticació al quadre de diàleg de les propietats de la sessió. Aquí fem servir el mètode Auth basat en formularis.
Ha de ser com authMethodParams com ' URL d’inici de sessió = https: //tmf-uat.iptquote.com/login.php&loginRequestData=username=superadmin&password=primo868&proceed=login ”
En el nostre exemple, hem d’establir el mètode d’autenticació basat en formularis. Per a això, seleccioneu l'URL de destinació, el camp de dades de publicació de la sol·licitud d'inici de sessió s'omple prèviament; després, canvieu el paràmetre com a nom d'usuari i contrasenya -> feu clic a OK .
Pas 4:
Ara, configureu indicadors que indiquin a ZAP quan s’autentiqui.
Indicadors d'inici de sessió i sessió tancats:
- Només cal un
- Podem establir patrons de Regex coincidents al missatge de resposta, hem d’establir un indicador d’inici de sessió o de tancament de sessió.
- Identifiqueu quan s’autentifica una resposta o quan no.
- Exemple d'indicador d'inici de sessió: Qhttp: // exemple / tancament de sessió E o usuari de benvinguda. *
- Exemple de l'indicador tancat de sessió: login.jsp o alguna cosa així.
Aquí, a la nostra aplicació de demostració, he accedit a l'URL des d'un navegador intermediari. Heu iniciat la sessió a l’aplicació mitjançant una credencial vàlida, el nom d’usuari com a superadministrador i la contrasenya com a primo868. Navegueu per les pàgines interiors i feu clic a la sessió
Podeu veure a la captura de pantalla del pas 3, Zap pren les dades de la sol·licitud d’inici de sessió com a les que s’utilitzen per a l’inici de sessió de l’aplicació TMF (Inici de sessió de l’aplicació de demostració).
Marqueu el patró Regex registrat des de la Resposta de ZAP com a Resposta -> Resposta tancada -> Marqueu-la com a identificada a l'indicador. Consulteu la captura de pantalla següent
Pas 5:
Podem desar l’indicador i verificar si s’afegeix o no el diàleg de propietats de la sessió amb l’indicador connectat. Consulteu la captura de pantalla següent:
Pas 6:
Hem d’afegir usuaris, vàlids i no vàlids. Apliqueu atacs d'aranya a tots dos i analitzeu els resultats.
Usuari vàlid:
preguntes d’entrevistes sobre serveis web de sabó i descans
Usuari no vàlid:
Pas 7:
Per defecte, configureu la gestió de la sessió com a mètode basat en cookies.
Pas 8:
L'atac URL d'aranya s'aplica a usuaris vàlids i no vàlids i revisa els resultats / genera informes.
Vista d'atac d'aranya d'usuari no vàlida 1:
Aquí s’aplica un atac d’aranya URL a l’usuari no vàlid. A la interfície ZAP, podem veure Get: login.php (error _message), que significa que l’autenticació ha fallat. A més, no passa els URL a través de pàgines TMF internes.
Pas 9:
Per aplicar atac d'URL d'aranya per a l'usuari vàlid, aneu a la llista de llocs -> atac -> URL d'aranya -> usuari vàlid existent -> aquí està habilitat per defecte -> iniciar l'exploració.
Analitza els resultats: ja que és un usuari autenticat vàlid, navegarà per totes les pàgines interiors i mostrarà l'estat d'autenticació com a correcte. Consulteu a continuació la captura de pantalla.
Usuari vàlid
Mostra d'informe ZAP Html
Un cop finalitzada una exploració activa, podem generar un informe HTML per a la mateixa. Per a això, seleccioneu Informe -> Genera informe HTML. He adjuntat una mostra de contingut d'informes HTML. Aquí es generaran informes d’alertes altes, mitjanes i baixes.
Alertes
Conclusió
En aquest tutorial, hem vist què és ZAP, com funciona ZAP, instal·lació i configuració del servidor intermediari ZAP. Diferents tipus de processos d’escaneig actiu, una demostració d’autenticació ZAP, gestió de sessions i usuaris i terminologies bàsiques. Al meu següent tutorial, explicaré sobre l'atac de l'aranya Ajax, l'ús de difusors, els llocs navegats forçadament.
I si heu utilitzat el proxy d'atac Zed i teniu alguns consells interessants per compartir, compartiu els comentaris següents.
Referències:
Lectura recomanada
- Tutorial de revisió pràctica de l'eina de gestió de proves PractiTest
- Revisió de l'eina de gestió de proves TestLodge
- Tutorial TestComplete: una guia completa de l'eina de proves de GUI per a principiants
- Tutorial de revisió pràctica de l'eina de seguiment d'errors
- Tutorial Bugzilla: Tutorial pràctic de l'eina de gestió de defectes
- Com provar el rendiment del lloc web mitjançant l'eina SmartMeter.io: tutorial de revisió pràctica
- Tutorial de l'eina de proves d'accessibilitat WAVE
- Revisió pràctica de l'eina de gestió de proves qTest