Введение
OWASP ZAP - это бесплатный сканер уязвимостей.
Он может использоваться для обнаружения широкого спектра уязвимостей в веб-приложениях, включая:
Установка
В статье я буду приводить примеры работая из kali linux.
Для установки OWASP ZAP нужно ввести 2 команды -
Практика. Поиск уязвимостей
Для начала давайте проведем атаку на тестовый таргет, подготовленный мной заранее. Для этого нажмем на Automated Scan, введем url и нажмем на attack.
По окончанию сканирования нам выведет список уязвимостей, которые нашел OWASP(вкладка alerts)
При нажатии на каждую из уязвимостей вы сможете увидеть информацию о ней
Так же вы сможете увидеть запрос и ответ которые были отправлены при поиске этой уязвимости.
В OWASP есть классная функция - вы можете запустить браузер и он будет автоматически сканировать его на уязвимости. Для этого нажмите на Manual Explore, введите ссылку и нажмите на Launch Browser.
Давайте попробуем использовать инструмент spider. Для этого перейдите в tools -> spider, введите таргет и начните скан. По окончанию мы получим карту сайта:
Fuzzer
Фуззер может использоваться для обнаружения широкого спектра уязвимостей.
Фуззер работает, отправляя на целевой веб-сайт случайные или преднамеренно искаженные данные. Если данные вызывают непредвиденную реакцию со стороны веб-приложения, это может указывать на наличие уязвимости.
Чтобы использовать фуззер, нужно:
Запустим паука и получим карту сайта:
У меня получилась такая карта, при том что я остановил процесс примерно на 30%. Теперь выберем ссылку, нажмем на attack -> Fuzz. Выберем id в ссылке и нажмем на add -> add -> Type -> File Fuzzer -> SQL Injections -> add
По итогу должно получится как то так:
Начнем атаку и подождем окончания. После атаки мы можем нажать на любую из ссылок и посмотреть ответ. Я сразу же нашел уязвимость:
Он работает, отправляя HTTP-запросы на целевой веб-сайт. Эти запросы содержат специальные параметры, которые позволяют AJAX SPIDER идентифицировать страницы и элементы, которые зависят от AJAX.
как можно использовать AJAX SPIDER:
После окончания сканирования вы сможете увидеть все ajax элементы найденные этим инструментом, и далее работать с ними(разберем в следующих частях)
Forced Browsing
это метод, при котором сканер перехватывает трафик между веб-приложением и сервером. Это позволяет сканеру обнаруживать уязвимости, которые не могут быть обнаружены другими методами тестирования
работает следующим образом:
OWASP ZAP - мощный инструмент для тестирования безопасности веб-приложений. Он предлагает широкий спектр функций, для обнаружения различных типов уязвимостей.
OWASP ZAP также поддерживает плагины, которые могут быть использованы для добавления новых функций или расширения существующих функций.
несколько советов по использованию OWASP ZAP:
Статья вышла очень маленькой, но она будет полезна для тех, кто начал изучать веб-уязвимости. По фидбекам из прошлых статей я добавил реальный таргет, который мы взломаем уже в следующей статье.
OWASP ZAP - это бесплатный сканер уязвимостей.
Он может использоваться для обнаружения широкого спектра уязвимостей в веб-приложениях, включая:
- SQL-инъекции
- Межсайтовый скриптинг (XSS)
- Уязвимости аутентификации и авторизации(api)
- Сканирование уязвимостей: автоматическое сканирование веб-приложений на наличие известных уязвимостей.
- Ручное тестирование: OWASP ZAP также предоставляет инструменты для ручного тестирования веб-приложений на наличие уязвимостей.
- Active Scan: Этот инструмент используется для запуска активного сканирования веб-приложения на наличие уязвимостей.
- Fuzzer: Этот инструмент используется для отправки случайных или преднамеренных искаженных данных на целевой веб-сайт или приложение с целью обнаружения уязвимостей.
- Spider: Этот инструмент используется для автоматического сбора информации о целевом веб-сайте или приложении. Информация, собранная пауком, может быть использована для проведения дальнейшего тестирования на наличие уязвимостей.
- Forced Browsing: Этот инструмент используется для обхода ограничений доступа на целевом веб-сайте или приложении.
- Proxy: Этот инструмент используется для использования OWASP ZAP в качестве прокси-сервера для всех сетевых запросов, исходящих от вашего компьютера. Это позволяет OWASP ZAP отслеживать и анализировать сетевой трафик, что может быть полезно для обнаружения уязвимостей.
- Spider View: Этот инструмент используется для просмотра информации, собранной spider.
- Request Editor: Этот инструмент используется для редактирования HTTP-запросов, отправляемых на целевой веб-сайт.
- Response: Этот инструмент используется для просмотра HTTP-ответов, полученных с целевого веб-сайта.
Установка
В статье я буду приводить примеры работая из kali linux.
Для установки OWASP ZAP нужно ввести 2 команды -
sudo su apt-get install zaproxy
Практика. Поиск уязвимостей
Для начала давайте проведем атаку на тестовый таргет, подготовленный мной заранее. Для этого нажмем на Automated Scan, введем url и нажмем на attack.
По окончанию сканирования нам выведет список уязвимостей, которые нашел OWASP(вкладка alerts)
В OWASP есть классная функция - вы можете запустить браузер и он будет автоматически сканировать его на уязвимости. Для этого нажмите на Manual Explore, введите ссылку и нажмите на Launch Browser.
Давайте попробуем использовать инструмент spider. Для этого перейдите в tools -> spider, введите таргет и начните скан. По окончанию мы получим карту сайта:
Фуззер может использоваться для обнаружения широкого спектра уязвимостей.
Фуззер работает, отправляя на целевой веб-сайт случайные или преднамеренно искаженные данные. Если данные вызывают непредвиденную реакцию со стороны веб-приложения, это может указывать на наличие уязвимости.
Чтобы использовать фуззер, нужно:
- Выбрать целевой таргет
- пкм -> Fuzz.
- Выбрать параметр для изменения
- Настроить пэйлоады
- Запустить и ожидать.
Запустим паука и получим карту сайта:
По итогу должно получится как то так:
AJAX SPIDER
AJAX SPIDER - это инструмент, который используется для сканирования веб-приложений, написанных с использованием AJAX. AJAX - технология, которая позволяет веб-приложениям обновлять свой контент без необходимости перезагрузки страницы.Он работает, отправляя HTTP-запросы на целевой веб-сайт. Эти запросы содержат специальные параметры, которые позволяют AJAX SPIDER идентифицировать страницы и элементы, которые зависят от AJAX.
как можно использовать AJAX SPIDER:
- Поиск страницы, которые зависят от AJAX, это может быть полезно для определения того, какие страницы должны быть протестированы на наличие уязвимостей.
- Поиск уязвимости XSS в элементах, которые зависят от AJAX, это может быть полезно для выявления уязвимостей, которые могут использоваться для внедрения вредоносного кода.
- Поиск уязвимости SQL-инъекции в элементах, которые зависят от AJAX.
После окончания сканирования вы сможете увидеть все ajax элементы найденные этим инструментом, и далее работать с ними(разберем в следующих частях)
Forced Browsing
это метод, при котором сканер перехватывает трафик между веб-приложением и сервером. Это позволяет сканеру обнаруживать уязвимости, которые не могут быть обнаружены другими методами тестирования
работает следующим образом:
- устанавливается прокси-сервер между веб-приложением и сервером.
- перехватывается весь трафик, который проходит через прокси-сервер.
- анализируется перехваченный трафик на наличие уязвимостей.
- Может обнаруживать уязвимости, которые не могут быть обнаружены другими методами тестирования.
- Может быть использован для обнаружения уязвимостей в сложных веб-приложениях.
OWASP ZAP - мощный инструмент для тестирования безопасности веб-приложений. Он предлагает широкий спектр функций, для обнаружения различных типов уязвимостей.
OWASP ZAP также поддерживает плагины, которые могут быть использованы для добавления новых функций или расширения существующих функций.
несколько советов по использованию OWASP ZAP:
- Используйте OWASP ZAP в сочетании с другими инструментами. Это поможет вам получить более полную картину безопасности веб-приложения.
- Учитесь на своих ошибках. Если что то не выходит, изучайте информацию более подробно
Статья вышла очень маленькой, но она будет полезна для тех, кто начал изучать веб-уязвимости. По фидбекам из прошлых статей я добавил реальный таргет, который мы взломаем уже в следующей статье.
Скрытый контент для пользователей групп Администратор.
