Naskenujte zranitelnost webu pomocí ZAP

Obsah
ZAP (Zed Attack Proxy) je nástroj pro penetrační testování pro testování webových stránek. Je to skener, který umožňuje automatické testy zabezpečení webu. V tomto kurzu se naučíme používat kontrolu zabezpečení prováděním automatizovaných útoků.
Je určen k použití začátečníky v oblasti zabezpečení nebo odborníky s rozsáhlými znalostmi zabezpečení. Je to velmi důležitý software pro vývojáře a správce serverů, kteří chtějí provádět testy penetrace funkčního zabezpečení.
Některé společnosti, které používají a spolupracují s ZAP, jsou: OWASP, Mozilla, Google, Microsoft a další.
Zap lze stáhnout z oficiální stránky projektu OWASP Zed Attack Proxy Project, existují verze pro různé nativní platformy nebo multiplatformní v Javě.

V tomto případě použijeme Cross platform nebo multiplatformní verzi, která obsahuje všechny verze, která je naprogramována v Javě, k jejímu spuštění budeme muset mít nainstalované JRE 7 (Java Runtime Environment) nebo vyšší.
Po stažení soubor rozbalíme a spustíme jako každý Java software, v tomto případě používáme Linux.
Z libovolného operačního systému můžeme příkaz spustit z přímého přístupu nebo z terminálu
 java -jar zap -2.4.2.jar

Přijímáme podmínky uvedené při spuštění a přejdeme na hlavní obrazovku softwaru.

Provedeme test zabezpečení, můžete použít doménu nebo IP webu, v tomto případě použijeme IP 67.222.16.108.
Přidáme IP do textového pole URL k útoku a poté klikneme na tlačítko Attack. Po naskenování všech stránek nalezených na webu získáme výsledek.

Vidíme, že byly nalezeny některé chyby zabezpečení, například:
X-Frame, což je chyba zabezpečení, která vám umožňuje zobrazit kompletní webovou stránku v rámečku iframe, a přimět tak někoho, aby si myslel, že prohlíží web, když ve skutečnosti má v iframe zahrnut jiný. Předpokládejme, že vytvoříme webovou stránku, zahrneme Facebook do jednoho rámce iframe a formulář Paypal do jiného, ​​což simuluje, že Facebook účtuje poplatky za registraci, takže u jakéhokoli webu by platba ve skutečnosti šla útočníkovi.

Tento typ útoku se nazývá klikání a lze tomu zabránit například pomocí Javascriptu vložením tohoto kódu do tagů na webu.
 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }
Další zranitelností zjištěnou v této IP je, že nemá ochranu XSS, kterou lze implementovat v závislosti na používaném programovacím jazyce.
Vyhýbat se Útoky XSS je snadné, existuje mnoho knihoven, které lze použít v jakékoli webové aplikaci.
Metoda zahrnuje ověření dat, která uživatelé zadávají, nebo z jakéhokoli externího zdroje dat nebo jakéhokoli parametru odeslaného adresou URL.
Tyto starosti jsou jediné, s nimiž musíme počítat, abychom jim zabránili Útoky XSS a zvýšit zabezpečení, které brání útokům XSS, proto musíme provést ověření dat, řídit data, která aplikace přijímá, a zabránit použití nebo spuštění nebezpečného kódu při zadávání dat.
Příklad funkce strip_tag () v php
Tato funkce odstraní jakýkoli html znak, který obsahuje proměnnou $ description, kromě těch, které autorizuje, jako v tomto případě

odstavec a tučné písmo

 $ description = strip_tags ($ _ POST [description], ‘

,’);

Nyní, když jsme dosáhli první analýzy, začneme používat různé nástroje a pluginy k provádění Fuzzingu, nazývá se Fuzzing pomocí různých testovacích technik, které odesílají data do aplikace masivním a sekvenčním způsobem, abychom se pokusili detekovat zranitelnosti na webu nebo v softwaru, který analyzujeme.
Vezmeme například jakýkoli web, který je potenciálně zranitelný
http: //www.dominio/i… rdetalle & id = 105
V dalším tutoriálu k SQLMAP, nástroji SQL Injection a hackování etické databáze vysvětlil, že snadný způsob, jak najít webovou stránku, kterou je třeba analyzovat, je vložit do vyhledávače Google section.php? Id = a uvidíme tisíce webových stránek, které by mohly být zranitelné . Tady to máte v případě zájmu:

Nástroj pro vkládání SQL

Analyzujeme webovou stránku a zobrazíme seznam zranitelných stránek.

Poté vezmeme jednu ze stránek, v tomto případě index.php, který má dvě proměnné id a sekci, poté klikneme pravým tlačítkem na tuto stránku.

Přejdeme do nabídky Útok a vybereme Fuzz, otevře se okno Fuzzer a klikneme na prázdné textové pole, tím se aktivuje tlačítko Přidat, které nám umožní přidat konkrétní typ útoku.

Dále uvidíme obrazovku Payloads. Funkce nebo využití poskytované softwarem k testování a vyhledávání chyb zabezpečení a způsobování chyb na webu, které auditujeme, se nazývá Payload. Na této obrazovce kliknutím na Přidat přidáme užitečné zatížení.
Zde můžeme vybrat typ útoku, který se má provést, vybrat typ File fuzzer a zvolit Payload Injection, který pokrývá útoky xss, mimo jiné útok sql injection a sql injection, který pokrývá všechny sql útoky. Ze seznamu, který nám Zap nabízí, můžeme přidat a vyzkoušet mnoho různých typů útoků.

Poté klikneme na přidat, poté na Přijmout a kliknutím na tlačítko Spustit fuzzer spustíme audit.

V důsledku skenování pomocí Vstřikování užitečného zatížení Y SQL Injection„Zjistili jsme, že web je zranitelný vůči útokům XSS a že má nejméně tři chyby, když čelí vysoce rizikovým injekcím sql, a říká nám, na kterých stránkách je problém.
Další analýzu, kterou můžeme provést, je výběr užitečného zatížení webového serveru, v tomto případě uvidíme, že máme problém s relacemi a soubory cookie, protože je lze přečíst z prohlížeče, který používáme.

ZVĚTŠIT

Další možností je simulovat provoz 10 000 téměř simultánních uživatelů, kteří budou procházet všemi odkazy dostupnými na našem webu, generovat požadavky, aby zjistili, zda web není nasycen a je mimo provoz.
Například se chystáme přidat datovou část, pravým tlačítkem vybereme doménu nebo hlavní stránku a přejdeme na Útok> Fuzz, poté klikneme na Přidat, poté na obrazovce Payload klikneme na Přidat, vybereme typ File Fuzzer a v jbrofuzz ​​jsme vybrali Zero Fuzzers.

Po spuštění užitečného zatížení uvidíme provoz na našich stránkách, ale uvidíme také provoz na těch webových stránkách, které jsme propojili.

V případě těchto webových stránek můžeme vidět provoz generovaný na facebook, twitter, linkedin, google plus, mimo jiné, které jistě tvoří strategii sociálních médií těchto webových stránek. Pokud máme Google Analytics nebo Google Searh Console (dříve Webmastertools) Rovněž bude generovat provoz, takže není dobré tyto testy překračovat, nebo je lepší to dělat lokálně s deaktivovanou analytikou Google.

Internetové a webové aplikace každým dnem zvyšují počet uživatelů, takže poptávka po odbornících na informační bezpečnost a auditorech v rámci společností je velmi důležitá.
Tyto testy nejsou průkazné, jsou pouze výstrahou, abychom mohli vyšetřování prohloubit. Tyto simulace útoku a automatizované skenování mohou poskytnout rychlé řešení pro audit webových stránek.
Je důležité, aby tyto nástroje byly používány s opatrností a etickými účely, protože je používají webmasteři a ti, kteří spravují servery a škodlivé hackery. OWASP ZAP je nástroj, který široce používají ti, kteří provádějí etické hackování při práci na aplikacích pro auditování a testování zabezpečení webu.
Další informace o zabezpečení IT pomocí jiných technik, útoků, hacků atd. zůstaňte v obraze a podělte se o své znalosti zde:

Výukové programy počítačové bezpečnosti

Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave