owasp zap tutorial comprehensive review owasp zap tool
Овај водич објашњава шта је ОВАСП ЗАП, како то функционише, како инсталирати и поставити ЗАП проки. Такође укључује демо ЗАП аутентификације и управљање корисницима:
Зашто користити ЗАП за тестирање оловком?
Да бисте развили сигурну веб апликацију, морате знати како ће бити нападнути. Овде долази захтев за безбедношћу веб апликације или тестирањем продора.
Из сигурносних разлога, компаније користе плаћене алате, али ОВАСП ЗАП је одлична алтернатива отвореног кода која тестерима олакшава продирање у тестирање.
Шта ћете научити:
- Шта је ОВАСП ЗАП?
- Како функционише ЗАП?
- ЗАП потврда идентитета, сесија и управљање корисницима
- Узорак извештаја ЗАП Хтмл
- Закључак
Шта је ОВАСП ЗАП?
Тестирање пенетрације помаже у проналажењу рањивости пре него што то учини нападач. ОСВАП ЗАП је бесплатни алат отвореног кода и користи се за извођење тестова пенетрације. Главни циљ Запа је омогућити лако тестирање пенетрације ради проналажења рањивости у веб апликацијама.
ЗАП предности:
- Зап нуди више платформи, тј. Ради на свим ОС (Линук, Мац, Виндовс)
- Зап се може поново користити
- Може да генерише извештаје
- Идеално за почетнике
- Бесплатан алат
Како функционише ЗАП?
ЗАП креира проки сервер и омогућава промет на веб локацији да пролази кроз сервер. Коришћење аутоматских скенера у ЗАП-у помаже у пресретању рањивости на веб локацији.
Погледајте овај дијаграм тока ради бољег разумевања:
подржава питања и одговоре на интервјуе техничара
ЗАП терминологије
Пре конфигурисања подешавања ЗАП-а, хајде да разумемо неке ЗАП терминологије:
# 1) Сесија : Сесија једноставно значи кретање кроз веб локацију да бисте идентификовали подручје напада. У ту сврху, било који прегледач попут Мозилла Фирефок може се користити променом његових проки подешавања. Или можемо сачувати зап сессион као .сессион и можемо поново користити.
# 2) Контекст: То значи веб апликацију или скуп УРЛ-ова заједно. Контекст створен у ЗАП-у напати ће наведени и занемарити остатак, како би се избјегло превише података.
# 3) Врсте ЗАП напада: Извештај о рањивости можете генерисати помоћу различитих типова ЗАП напада тако што ћете притиснути и скенирати УРЛ.
Активно скенирање: Можемо извршити активно скенирање користећи Зап на више начина. Прва опција је Брз почетак, која је присутна на страници добродошлице алата ЗАП. Погледајте доњи снимак екрана:
Брзи почетак 1
Горњи снимак екрана приказује најбржи начин да започнете са ЗАП-ом. Унесите УРЛ испод картице Куицк Старт, притисните дугме Аттацк и напредак започиње.
Куицк Старт покреће паука на наведеном УРЛ-у, а затим покреће активни скенер. Паук пузи на свим страницама почев од наведене УРЛ адресе. Тачније, страница Куицкстарт је попут „усмери и пуцај“.
Брзи почетак 2
Овде, након постављања циљне УРЛ адресе, напад почиње. Статус Прогресс можете видети као спидеринг УРЛ-а за откривање садржаја. Можемо ручно зауставити напад ако вам одузима превише времена.
Друга опција за Активно скенирање је да можемо приступити УРЛ-у у ЗАП проки претраживачу јер ће га Зап аутоматски открити. Након десног клика на УРЛ -> Активно скенирање ће се покренути. Када је индексирање завршено, започет ће активно скенирање.
Напредак напада биће приказан на картици Активно скенирање. а картица Спидер ће приказати УРЛ листе са сценаријима напада. Након завршетка активног скенирања, резултати ће се приказати на картици Упозорења.
Молимо погледајте доњи снимак екрана Активно скенирање 1 и Активно скенирање 2 ради јасног разумевања.
Активно скенирање 1
Активно скенирање 2
# 4) Паук: Спидер идентификује УРЛ на веб локацији, проверава хипервезе и додаје га на листу.
# 5) Ајак Спидер: У случају да наша апликација интензивно користи ЈаваСцрипт, за истраживање апликације одаберите АЈАКС спидер.Објаснићу вам Ајак паук детаљно у мом следећем упутству.
# 6) Упозорења : Рањивости веб локација означене су као висока, средња и ниска упозорења.
ЗАП инсталација
Сада ћемо разумети подешавање ЗАП инсталације. Прво преузмите Зап инсталл . Како користим Виндовс 10, преузео сам 64-битни инсталациони програм за Виндовс у складу с тим.
Предуслови за инсталацију Зап-а: Јава 7 је обавезна. Ако на вашем систему нема инсталирану јаву, прво је преузмите. Тада можемо покренути ЗАП.
Подесите ЗАП претраживач
Прво затворите све активне Фирефок сесије.
Покрените Зап алат >> идите у мени Алатке >> изаберите опције >> изаберите Локални проки >> тамо можемо видети адресу као лоцалхост (127.0.0.1), а порт као 8080, можемо га променити у други порт ако већ користи, рецимо да се мењам на 8099. Проверите приказ екрана испод:
Локални прокси у Зап 1
Сада отворите Мозилла Фирефок >> изаберите опције >> картица унапред >> у тој мрежи> Подешавања везе >> изаберите опцију Ручна конфигурација проксија. Користите исти порт као у алату Зап. Ручно сам променио на 8099 у ЗАП-у и користио исти у прегледачу Фирефок. Погледајте доњи снимак екрана Фирефок конфигурације постављене као прокси прегледач.
Постављање Фирефок проки сервера 1
Покушајте да повежете своју апликацију помоћу прегледача. Ево, покушао сам да се повежем Фејсбук и каже да ваша веза није сигурна. Зато морате додати изузетак, а затим потврдити изузетак за безбедност за навигацију на Фацебоок страницу. Погледајте снимке екрана испод:
Приступ веб страници-проки претраживач 1
Приступ веб страници-проки претраживач 2
Приступ веб страници-проки претраживач 3
Истовремено, на картици Зап’с ситес проверите креирану нову сесију за Фацебоок страницу. Када успешно повежете своју апликацију, на картици историје ЗАП-а видећете још редова.
Зап обично пружа додатне функције којима се може приступити десним кликом на меније попут,
Кликните десним тастером миша на >> ХТМЛ >> активно скенирање, а затим ће зап извршити активно скенирање и приказати резултате.
Ако не можете да повежете апликацију помоћу прегледача, поново проверите подешавања проксија. Мораћете да проверите подешавања прегледача и ЗАП проксија.
Генерисање извештаја у ЗАП-у
Када се заврши активно скенирање, можемо да генеришемо извештаје. За то кликните ОВАСП ЗАП >> Извештај >> генериши ХТМЛ извештаје >> пружена путања датотеке >> извезени извештај о скенирању. Морамо испитати извештаје да бисмо идентификовали све могуће претње и исправили их.
ЗАП потврда идентитета, сесија и управљање корисницима
Пређимо на другу Зап функцију, која се бави аутентификацијом, управљањем сесијама и корисницима. Обавестите ме о било ком питању које вам падне на памет везано за ово као коментаре.
Основни појмови
- Контекст : Представља веб апликацију или скуп УРЛ-ова заједно. За дати контекст, додају се нове картице за прилагођавање и конфигурисање процеса потврде идентитета и управљања сесијама. Опције су доступне у дијалогу својстава сесије. Тј. Дијалог својстава сесије -> Контекст -> можете да користите подразумевану опцију или да додате ново име контекста.
- Метод управљања сесијом: Постоје 2 врсте метода управљања сесијама. Углавном се користи управљање сесијама засновано на колачићима, повезано са контекстом.
- Метод аутентификације: ЗАП углавном користи 3 врсте Аутх методе:
- Метода аутентификације заснована на обрасцу
- Ручна потврда идентитета
- ХТТП аутентификација
- Управљање корисницима: Једном када је шема за потврду идентитета конфигурисана, може се дефинисати скуп корисника за сваки контекст. Ови корисници се користе за разне акције ( На пример, Спидер УРЛ / контекст као корисник И, пошаљите све захтеве као корисник Кс). Ускоро ће бити обезбеђено још акција које користе кориснике.
Проширење „Принудни корисник“ је примењено да замени стари додатак за потврду идентитета који је вршио поновну потврду идентитета. Режим „Присилни корисник“ је сада доступан путем траке с алаткама (иста икона као и стари додатак за потврду идентитета).
Након постављања корисника као „Присилног корисника“ за дати контекст или када је то омогућено, сваки захтев послат путем ЗАП-а аутоматски се модификује тако да се пошаље за овог корисника. Овај режим такође аутоматски изводи поновну потврду идентитета (посебно у вези са потврдом идентитета заснованом на обрасцу) ако недостаје потврда идентитета, открива се „одјављена“.
Погледајмо демо:
Корак 1:
Прво покрените ЗАП и приступите УРЛ-у у проки претраживачу. Ево, узео сам пример УРЛ-а као хттпс://тмф-уат.ипткуоте.цом/логин.пхп . Кликните на Напредно -> додај изузетак -> потврдите сигурносни изузетак као на странама 6 и 7. Тада се приказује одредишна страница. Истовремено, ЗАП аутоматски учитава веб страницу у оквиру Сајтови као нову сесију. Погледајте доњу слику.
Корак 2:
Укључите га у контекст. То се може учинити укључивањем у задати контекст или додавањем као нови контекст. Погледајте доњу слику.
Корак 3:
Сада је следећа метода потврде идентитета. Аутентификацију можете видети у самом дијалогу својстава те сесије. Овде користимо Аутх метод заснован на обрасцу.
Требало би да буде попут аутхМетходПарамс као ' УРЛ за пријаву = хттпс: //тмф-уат.ипткуоте.цом/логин.пхп&логинРекуестДата=усернаме=суперадмин&пассворд=примо868&процеед=логин ”
У нашем примеру морамо да поставимо метод аутентификације као заснован на обрасцу. За то одаберите циљну УРЛ адресу, поље за податке о захтеву за пријаву се унапред попуњава, након тога промените параметар као корисничко име и лозинку -> кликните ок .
је мрежни кључ исто што и лозинка
Корак 4:
Сада поставите индикаторе који ће рећи ЗАП-у када је потврђен идентитет.
Показатељи пријављени и одјављени:
- Неопходан је само један
- Можемо поставити Регек обрасце који се подударају у поруци одговора, треба да подесимо индикатор за пријаву или одјаву.
- Утврдите када је одговор потврђен или не.
- Пример за пријављени индикатор: Кхттп: // пример / одјава Е или корисник добродошлице. *
- Пример индикатора одјављен: логин.јсп или нешто слично.
Овде, у нашој демо апликацији, приступио сам УРЛ-у у проки претраживачу. Пријављени сте у апликацију користећи важеће акредитиве, Корисничко име као суперадмин и Лозинка као примо868. Крећите се по унутрашњим страницама и кликните на одјаву
Можете видети на снимку екрана корака 3, Зап узима податке захтева за пријаву као оне који се користе за пријављивање у ТМФ апликацију (Демо апплицатион логин).
Означи пријављени образац регуларног израза из одговора ЗАП-а као одговор -> одјављени одговор -> означи га пријављеним у индикатору. Погледајте снимак екрана испод
Корак 5:
Можемо сачувати индикатор и проверити да ли се дијалог својстава сесије додаје са пријављеним индикатором или не. Погледајте снимак заслона у наставку:
Корак 6:
Морамо додати кориснике, важеће и неваљане кориснике. Примените паукове нападе на оба и анализирајте резултате.
Важећи корисник:
Неважећи корисник:
Корак 7:
Подразумевано поставите управљање сесијом као метод заснован на колачићима.
Корак 8:
Спидер УРЛ напад се примењује на неважеће и важеће кориснике и прегледава резултате / генерише извештаје.
Неважећи поглед корисника напада паука 1:
Овде се на неважећег корисника примењује напад паукове УРЛ адресе. У ЗАП интерфејсу можемо видети Гет: логин.пхп (еррор _мессаге), што значи да потврда идентитета није успела. Такође, УРЛ адресе не прослеђује кроз унутрашње ТМФ странице.
Корак 9:
Да бисте применили напад паукове УРЛ адресе за важећег корисника, идите на листу веб локација -> напад -> пауков УРЛ -> постојећи важећи корисник -> овде је подразумевано омогућен -> покрените скенирање.
Анализирајте резултате: Будући да је важећи потврђени корисник, он ће се кретати кроз све унутрашње странице и приказивати статус потврде као успешан. Погледајте испод снимка екрана.
Валид-усер
Узорак извештаја ЗАП Хтмл
Када се активно скенирање заврши, можемо генерисати ХТМЛ извештај за исти. За ово изаберите Извештај -> Генериши ХТМЛ извештај. Приложио сам узорак садржаја ХТМЛ извештаја. Овде ће се генерисати извештаји о високим, средњим и ниским упозорењима.
Упозорења
Закључак
У овом упутству смо видели шта је ЗАП, како ЗАП ради, инсталација и подешавање ЗАП проки сервера. Различити типови процеса активног скенирања, демонстрација ЗАП аутентификације, управљање сесијама и корисницима и основне терминологије. У следећем упутству ћу вам објаснити напад на паукове Ајак, употребу фузера, присилне прегледане странице.
А ако сте користили Зед нападачки прокси и имате неколико занимљивих савета за поделу, поделите их у коментарима испод.
Референце:
Препоручено читање
- ПрактиТест Алат за управљање тестовима Практични водич за преглед
- Преглед алата за управљање тестом ТестЛодге
- Водич за ТестЦомплете: Свеобухватан водич за алат за тестирање ГУИ-а за почетнике
- Водич за практични преглед алата за праћење грешака у раду
- Водич за Бугзилла: Практични водич за алат за управљање недостацима
- Како тестирати перформансе веб страница помоћу алата СмартМетер.ио: Водич за практични преглед
- Водич за алат за тестирање приступачности ВАВЕ-а
- Практични преглед алата за управљање тестом кТест