Skanna en webbplats sårbarhet med ZAP

ZAP (Zed Attack Proxy) är ett penetrationstestverktyg för att testa webbplatser. Det är en skanner som tillåter automatiska webbsäkerhetstester. I den här självstudien kommer vi att lära oss hur du använder säkerhetskontroll genom att utföra automatiska attacker.
Den är utformad för att användas av nybörjare inom säkerhet eller av experter med omfattande kunskap om säkerhet. Det är mycket viktig programvara för utvecklare och serveradministratörer som vill göra funktionella säkerhetstest.
Några företag som använder och samarbetar med ZAP är: OWASP, Mozilla, Google, Microsoft och andra.
Zap kan laddas ner från OWASP Zed Attack Proxy Project officiella sida, det finns versioner för olika inbyggda plattformar eller en multiplatform i Java.

I det här fallet kommer vi att använda Cross -plattformen eller multiplatformversionen, som innehåller alla versioner, som är programmerade i Java, för att köra den måste vi ha installerat JRE 7 (Java Runtime Environment) eller högre.
När vi har laddat ner packar vi upp filen och kör den som vilken Java -programvara som helst, i det här fallet använder vi Linux.
Från vilket operativsystem som helst kan vi köra från en direktåtkomst eller från en terminal med kommandot

 java -jar zap -2.4.2.jar

Vi accepterar de villkor som visas vid start och går till huvudskärmen för programvaran.

Vi ska utföra ett säkerhetstest, du kan använda domänen eller webbsidan i detta fall kommer vi att använda ip 67.222.16.108.
Vi lägger till IP -adressen i textrutan URL för att attackera och klickar sedan på Attack -knappen. Efter att ha skannat alla sidor som finns på webben kommer vi att få resultatet.

Vi kan se att vissa sårbarheter hittades som:
X-Frame, som är en sårbarhet som gör att du kan visa en fullständig webbplats i en iframe och därmed få någon att tro att de surfar på en webbplats när de faktiskt har en annan inkluderad i iframe. Anta att vi skapar en webbplats, vi inkluderar Facebook i en iframe och ett Paypal -formulär i en annan, vilket simulerar att Facebook tar betalt för registrering, så med vilken webbplats som helst skulle betalningen faktiskt gå till angriparen.

Denna typ av attack kallas clickjacking och det kan förhindras till exempel med Javascript genom att sätta den här koden i taggarna på webben.

 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }

En annan sårbarhet som finns i denna IP är att den inte har XSS -skydd, detta kan implementeras beroende på vilket programmeringsspråk vi använder.
Undvika XSS -attacker det är lätt att det finns många bibliotek att använda i alla webbapplikationer.
Metoden innebär att verifiera den data som användare anger eller från någon extern datakälla eller någon parameter som skickades av url.
Dessa bekymmer är de enda som vi måste ta hänsyn till för att förhindra XSS -attacker och öka säkerheten som förhindrar XSS -attacker, för detta måste vi utföra datavalidering, kontrollera data som programmet tar emot och förhindra att farlig kod används eller körs när data matas in.
Exempel på funktion strip_tag () i php
Denna funktion tar bort alla html -tecken som innehåller variabeln $ description, förutom de som den godkänner, som i detta fall

stycke och fetstil

 $ description = strip_tags ($ _ POST [description], '
,’);

Nu när vi har uppnått den första analysen kommer vi att börja använda olika verktyg och plugins för att göra Fuzzing, det kallas Fuzzing för användning av olika testtekniker som skickar data till applikationen på ett massivt och sekventiellt sätt, för att försöka upptäcka sårbarheter på webben eller i den programvara vi analyserar.
Till exempel tar vi alla webbplatser som är potentiellt sårbara av den typen
http: //www.dominio/i… rdetalle & id = 105
I en annan SQLMAP -handledning, SQL Injection -verktyg och etisk databashackning förklarade han att ett enkelt sätt att hitta en webbplats att analysera är att placera section.php? Id = i Googles sökmotor och vi kommer att se tusentals webbplatser som kan vara sårbara . Här har du den om du är intresserad:

SQL -injektionsverktyg

Vi analyserar en webbplats och ser listan över sårbara sidor.

Sedan tar vi en av sidorna, i det här fallet index.php som har två variabler id och avsnitt, sedan högerklickar vi på den här sidan.

Vi går till Attack -menyn och väljer Fuzz, Fuzzer -fönstret öppnas och vi klickar på den tomma textrutan, detta aktiverar knappen Lägg till som gör att vi kan lägga till den specifika typen av attack.

Därefter ser vi skärmen för nyttolast. Funktionerna eller exploateringen som tillhandahålls av programvara för att testa och söka efter sårbarheter och orsaka fel på webben som vi granskar kallas Payload. I den här skärmen klickar vi på Lägg till för att lägga till en nyttolast.
Här kan vi välja vilken typ av attack som ska utföras, välja File fuzzer -typen och välja nyttolastinjektion som täcker xss -attacker, sql -injektionsattack bland annat och sql -injektion som täcker alla sql -attacker. Vi kan lägga till och testa många olika typer av attacker från listan som Zap erbjuder oss.

Sedan klickar vi på lägg till, sedan på Acceptera och klickar på Start Fuzzer -knappen för att påbörja granskningen.

Som ett resultat av skanning med Nyttolastinjektion Y SQL -injektion, upptäckte vi att webben är sårbar för XSS-attacker och att den har minst tre brister när den står inför högrisk-sql-injektioner och den berättar på vilka sidor problemet är.
En annan analys som vi kan utföra är genom att välja webbserverns nyttolast, i det här fallet ser vi att vi har problem med sessioner och cookies eftersom de kan läsas från webbläsaren som vi använder.

FÖRSTORA

Ett annat alternativ är att simulera trafik av 10 000 nästan samtidiga användare, som kommer att navigera i alla länkar som finns på vår webbplats, generera förfrågningar för att se om webbplatsen inte är mättad och är ur funktion.
Till exempel kommer vi att lägga till en nyttolast, vi väljer domänen eller huvudsidan med den högra knappen och vi går till Attack> Fuzz, sedan klickar vi på Lägg till, sedan på nyttolastskärmen klickar vi på Lägg till, vi väljer File Fuzzer -typ och i jbrofuzz ​​valde vi Zero Fuzzers.

Efter genomförd nyttolast kommer vi att se trafiken till våra sidor, men vi kommer också att se trafiken till de webbsidor som vi har länkat.

Vi kan se på den här webbplatsens trafik som genereras till facebook, twitter, linkedin, google plus, bland andra som säkert utgör den här webbplatsens sociala mediestrategi. Om vi ​​har Google Analytics eller Google Searh Console (tidigare Webmastertools) Det kommer också att generera trafik, så det är inte bra att överskrida dessa tester, eller det är bättre att göra det lokalt, med Google Analytics inaktiverat.

Internet- och webbapplikationerna ökar antalet användare varje dag, så efterfrågan på informationssäkerhetsexperter och revisorer inom företag är mycket viktig.
Dessa tester är inte avgörande, de är bara en varning så att vi kan fördjupa utredningen. Dessa attack simuleringar och automatiska skanningar kan ge en snabb lösning för granskning av webbplatser.
Det är viktigt att dessa verktyg används med omsorg och etiska ändamål eftersom de används av webbansvariga och de som hanterar servrar och skadliga hackare också. OWASP ZAP är ett verktyg som används i stor utsträckning av dem som gör etisk hackning för sitt arbete med webbsäkerhetsgranskning och testning av applikationer.
För mer information om IT -säkerhet med andra tekniker, attacker, hack etc. håll dig uppdaterad och dela dina kunskaper här:

Datorsäkerhetsguider

Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng