OWASP ZAP (Zed Attack Proxy)
OWASP Zed Attack Proxy (ZAP) je odlično orodje OWASP združenja, ki nam je v pomoč pri odkrivanju varnostnih pomanjkljivosti spletnih aplikacij. Pred dnevi so orodje posodobili na verzjo 1.3, ki ponuja naslednje funkcije:
- Proxy funkcija
- Avtomatično in pasivno skeniranje
- Brute force skeniranje
- Spider
- Fuzzing
- Port skeniranje in še bi se kaj našlo…
Namestitev je enostavna, podprte so vse platforme Windows,Linux, MacOS. Aplikacija deluje kot proxy, zato je potrebno v brskalnikih nastaviti proxy prehod. Osnovni port na katerem deluje ZAP proxy je 8080. Spodaj je slika nastavitev za Firefox 5 brskalnik.
Sedaj lahko v svojem brskalniku izberemo spletni naslov, ZAP orodje pa bo posnelo ves promet v okviru HTTP/HTTPS seje. V našem primeru smo izbrali Acunetix-ov spletni strežnik http://testasp.vulnweb.com, ki je namenjen izvajanju različnih oblik testiranj spletnih aplikacij (drugi uporabni naslovi za testiranje http://zero.webappsecurity.com/,http://testphp.vulnweb.com/). V okviru spletne strani smo izbrali link "search", kjer obstaja vnosno polje za iskanje. Pogosto so v spletnih aplikacijah vnosna polja zaradi pomanjkljive kontrole vhodnih podatkov ranljiva na XSS in SQL injection napade.
ZAP je v okviru svoje proxy funkcije prestregel vse promet in v svojem zavihku "history" ponudil povezavo na zgoraj omenjeno "search" polje. Sedaj lahko izvedemo testiranje, ali ima omenjeno polje varnostne pomanjkljivosti. S pritiskom druge tipke na miški se nam ponudi padajoči meni, kjer izberemo opcijo "Scan this history".
V našem primeru je ZAP na polju "search" odkril tako XSS kot tudi SQL injection varnostno pomanjkljivost. Poleg ranljivosti so podane podrobnosti, priporočila za odpravo in spletne povezave, ki posredujejo podrobnejši opis ranljivosti. Podobnih orodij je kar nekaj, vendar pa se ZAP izkaže s svojo enostavno uporabo in kvalitetnim odkrivanjem varnostnih slabosti. Da ne pozabim, orodje je brezplačno. Za razliko od mnogih ne pozna PRO izvedbe, na voljo so nam vse funkcije.
