✅ Сканирайте уязвимостта на уебсайт с ZAP

Съдържание

ZAP (Zed Attack Proxy) е инструмент за тестване на проникване за тестване на уебсайтове. Това е скенер, който позволява автоматични тестове за уеб защита. В този урок ще научим как да използваме проверка на сигурността чрез извършване на автоматизирани атаки.
Той е проектиран да се използва от начинаещи в областта на сигурността или от експерти с обширни познания в областта на сигурността. Това е много важен софтуер за разработчици и администратори на сървъри, които искат да правят функционални тестове за проникване на сигурност.
Някои компании, които използват и си сътрудничат със ZAP, са: OWASP, Mozilla, Google, Microsoft и други.
Zap може да бъде изтеглен от официалната страница на OWASP Zed Attack Proxy Project, има версии за различни местни платформи или мултиплатформа в Java.

В този случай ще използваме Cross платформа или мултиплатформена версия, която съдържа всички версии, която е програмирана в Java, за да я стартираме ще трябва да сме инсталирали JRE 7 (Java Runtime Environment) или по-високо.
След като изтеглите, разархивираме файла и го стартираме като всеки Java софтуер, в този случай използваме Linux.
От всяка операционна система можем да изпълним от директен достъп или от терминал с командата

 java -jar zap -2.4.2.jar

Приемаме правилата и условията, показани при стартиране и отиваме на главния екран на софтуера.

Ще извършим тест за сигурност, можете да използвате домейна или ip на мрежата, в този случай ще използваме ip 67.222.16.108.
Добавяме ip в URL адреса за текстово поле за атака и след това натискаме бутона Attack. След сканиране на всички страници, намерени в мрежата, ще получим резултата.

Можем да видим, че са открити някои уязвимости като:
X-Frame, която е уязвимост, която ви позволява да показвате пълен уебсайт във вградена рамка и по този начин да накарате някой да мисли, че сърфира в уебсайт, когато всъщност има друг, включен в iframe. Да предположим, че създаваме уебсайт, включваме Facebook в една iframe и Paypal форма в друга, симулирайки, че Facebook таксува за регистрация, така че с всеки уебсайт плащането всъщност ще отиде на нападателя.

Този вид атака се нарича кликджек и може да бъде предотвратен например с Javascript, като поставите този код в маркерите на мрежата.

 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }

Друга уязвимост, открита в този IP, е, че тя няма XSS защита, това може да бъде приложено в зависимост от езика за програмиране, който използваме.
Да се избегне XSS атаки лесно е, че във всяко уеб приложение има много библиотеки.
Методът включва проверка на данните, които потребителите въвеждат, или от външен източник на данни или от всеки параметър, изпратен от url.
Тези грижи са единствените, които трябва да вземем предвид, за да предотвратим XSS атаки и повишаване на защитата, която предотвратява XSS атаки, за това трябва да извършим валидиране на данни, да контролираме данните, които приложението получава, и да предотвратим използването или изпълнението на опасен код при въвеждане на данни.
Примерна функция strip_tag () във php
Тази функция премахва всеки html символ, който съдържа променливата $ description, с изключение на онези, които тя упълномощава, както в този случай

параграф и удебелен шрифт

 $ description = strip_tags ($ _ POST [описание], ’
,’);

След като постигнахме първия анализ, ще започнем да прилагаме различни инструменти и плъгини, за да направим Fuzzing, той се нарича Fuzzing за използването на различни техники за тестване, които изпращат данни към приложението по масивен и последователен начин, за да се опитаме да открием уязвимости в мрежата или в софтуера, който анализираме.
Например вземаме всеки уебсайт, който е потенциално уязвим от този тип
http: //www.dominio/i… rdetalle & id = 105
В друг урок по SQLMAP, инструмент за инжектиране на SQL и хакерство за етична база данни, той обясни, че лесен начин да намерите уебсайт за анализ е да поставите section.php? Id = в търсачката на Google и ще видим хиляди уебсайтове, които биха могли да бъдат уязвими . Ето го в случай, че се интересувате:

Инструмент за инжектиране на SQL
Анализираме уебсайт и виждаме списъка с уязвими страници.

След това вземаме една от страниците, в този случай index.php, който има две променливи id и раздел, след което щракваме с десния бутон върху тази страница.

Отиваме в менюто Attack и избираме Fuzz, прозорецът Fuzzer се отваря и кликваме върху празното текстово поле, това ще активира бутона Add, който ще ни позволи да добавим конкретния тип атака.

След това ще видим екрана Payloads. Функциите или експлоатацията, предоставени от софтуера за тестване и търсене на уязвимости и причиняване на грешки в мрежата, които одитираме, се наричат Payload. На този екран кликваме върху Добавяне, за да добавим полезен товар.
Тук можем да изберем типа атака, която да извършим, да изберем типа на разпределителя на файлове и да изберем инжектирането на полезен товар, което обхваща xss атаките, sql инжекционната атака между другото и sql инжекцията, която обхваща всички sql атаки. Можем да добавим и тестваме много различни видове атаки от списъка, който ни предлага Zap.

След това кликваме върху добавяне, след това върху Приемам и кликваме върху бутона Старт Fuzzer, за да започнем одита.

В резултат на сканирането с Инжектиране на полезен товар Y SQL инжектиране, открихме, че мрежата е уязвима за XSS атаки и има поне три недостатъка, когато се сблъска с високорискови sql инжекции и ни казва в кои страници е проблемът.
Друг анализ, който можем да извършим, е като изберем полезния товар на уеб сървъра, в този случай ще видим, че имаме проблем със сесиите и бисквитките, тъй като те могат да бъдат прочетени от браузъра, който използваме.

Увеличете
Друг вариант е да симулирате трафик на 10 000 почти едновременни потребители, които ще навигират във всички налични връзки на нашия уебсайт, генерирайки заявки, за да видят дали уебсайтът не е наситен и не работи.
Например ще добавим полезен товар, избираме домейна или главната страница с десния бутон и отиваме на Attack> Fuzz, след това кликваме Add, след това на екрана Payload натискаме Add, избираме File Fuzzer type и в jbrofuzz избрахме Zero Fuzzers.

След изпълнение на полезния товар ще видим трафика към нашите страници, но също така ще видим трафика към тези уеб страници, които сме свързали.

В случая на този уебсайт можем да видим трафика, генериран към facebook, twitter, linkedin, google plus, наред с други, които със сигурност съставляват стратегията за социални медии на този уебсайт. Ако имаме Google Analytics или Google Searh Console (по -рано инструменти за уеб администратори) Той също така ще генерира трафик, така че не е добре да надвишавате тези тестове, или е по -добре да го направите локално, с деактивиран Google Analytics.

Интернет и уеб приложенията увеличават броя на потребителите всеки ден, така че търсенето на експерти по информационна сигурност и одитори в компаниите е много важно.
Тези тестове не са окончателни, те са само сигнал, за да можем да задълбочим разследването. Тези симулации на атаки и автоматизирани сканирания могат да осигурят бързо решение за одит на уебсайтове.
Важно е тези инструменти да се използват с грижа и етични цели, тъй като те се използват от уеб администратори и тези, които управляват сървъри и злонамерени хакери. OWASP ZAP е инструмент, широко използван от тези, които извършват етично хакерство за работата си по приложения за одит и тестване на уеб сигурност.
За повече информация относно ИТ сигурността с други техники, атаки, хакване и др. бъдете в течение и споделяйте знанията си тук:

Уроци по компютърна сигурност
Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка