Scanați o vulnerabilitate a site-ului web cu ZAP

ZAP (Zed Attack Proxy) este un instrument de testare a penetrării pentru testarea site-urilor web. Este un scaner care permite teste automate de securitate web. În acest tutorial vom învăța cum să folosim verificarea securității prin efectuarea atacurilor automate.
Este conceput pentru a fi utilizat de începători în domeniul securității sau de experți cu cunoștințe extinse în domeniul securității. Este un software foarte important pentru dezvoltatori și administratori de server care doresc să facă teste funcționale de penetrare a securității.
Unele companii care utilizează și colaborează cu ZAP sunt: OWASP, Mozilla, Google, Microsoft și altele.
Zap poate fi descărcat de pe pagina oficială a proiectului OWASP Zed Attack Proxy, există versiuni pentru diverse platforme native sau o multiplatformă în Java.

În acest caz vom folosi versiunea Cross platform sau multiplatform, care conține toate versiunile, care este programată în Java, pentru a o rula va trebui să avem instalată JRE 7 (Java Runtime Environment) sau mai sus.
Odată descărcat, dezarhivăm fișierul și îl rulăm ca orice software Java, în acest caz folosim Linux.
Din orice sistem de operare putem executa dintr-un acces direct sau de la un terminal cu comanda

 java -jar zap-2.4.2.jar

Acceptăm termenii și condițiile afișate la pornire și mergem la ecranul principal al software-ului.

Vom efectua un test de securitate, puteți utiliza domeniul sau IP-ul web în acest caz vom folosi ip 67.222.16.108.
Adăugăm ip-ul în caseta de text URL pentru a ataca și apoi facem clic pe butonul Atacă. După scanarea tuturor paginilor găsite pe web vom obține rezultatul.

Putem vedea că au fost găsite unele vulnerabilități, cum ar fi:
X-Frame, care este o vulnerabilitate care vă permite să afișați un site web complet într-un iframe și astfel să faceți pe cineva să creadă că navighează pe un site web atunci când are de fapt un altul inclus în iframe. Să presupunem că creăm un site web, includem Facebook într-un iframe și un formular Paypal în altul, simulând că Facebook percepe taxe pentru înregistrare, astfel încât, cu orice site web, plata ar merge de fapt către atacator.

Acest tip de atac este numit clickjacking și poate fi prevenit, de exemplu, cu Javascript prin introducerea acestui cod în etichetele de pe web.

 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }

O altă vulnerabilitate găsită în acest IP este că nu are protecție XSS, aceasta poate fi implementată în funcție de limbajul de programare pe care îl folosim.
Evita Atacuri XSS este ușor să existe multe biblioteci de utilizat în orice aplicație web.
Metoda implică verificarea datelor pe care utilizatorii le introduc sau de la orice sursă de date externă sau orice parametru care a fost trimis prin adresa URL.
Aceste griji sunt singurele pe care trebuie să le luăm în considerare pentru a le preveni Atacuri XSS și creșterea securității care previne atacurile XSS, pentru aceasta trebuie să efectuăm validarea datelor, să controlăm datele primite de aplicație și să împiedicăm utilizarea sau executarea codului periculos la introducerea datelor.
Exemplu de funcție strip_tag () în php
Această funcție elimină orice caracter html care conține variabila $ description, cu excepția celor pe care le autorizează, ca în acest caz

paragraf și font bold

 $ description = strip_tags ($ _ POST [description], ’
,’);

Acum că am realizat prima analiză, vom începe să aplicăm diferite instrumente și pluginuri pentru a face Fuzzing, se numește Fuzzing la utilizarea diferitelor tehnici de testare care trimit date aplicației într-un mod masiv și secvențial, pentru a încerca să detecteze vulnerabilitățile de pe web sau din software-ul pe care îl analizăm.
De exemplu, luăm orice site web potențial vulnerabil de acest tip
http: //www.dominio/i… rdetalle & id = 105
Într-un alt tutorial SQLMAP, instrument SQL Injection și hacking etic al bazei de date, el a explicat că o modalitate ușoară de a găsi un site web de analizat este să introduceți section.php? Id = în motorul de căutare Google și vom vedea mii de site-uri web care ar putea fi vulnerabile. . Aici îl aveți în caz că sunteți interesat:

Instrument de injecție SQL

Analizăm un site web și vedem lista paginilor vulnerabile.

Apoi luăm una dintre pagini, în acest caz index.php care are două variabile id și secțiune, apoi facem clic dreapta pe această pagină.

Mergem în meniul Attack și selectăm Fuzz, se deschide fereastra Fuzzer și facem clic pe caseta de text goală, aceasta va activa butonul Adăugare care ne va permite să adăugăm tipul specific de atac.

În continuare vom vedea ecranul de sarcini utile. Funcțiile sau exploatarea oferite de software pentru a testa și căuta vulnerabilități și a provoca erori pe web pe care le audităm se numește Payload. În acest ecran facem clic pe Adăugare pentru a adăuga o sarcină utilă.
Aici putem selecta tipul de atac de efectuat, selectăm tipul de fuzzer fișier și alegem injecția de încărcare care acoperă atacurile xss, atacul de injecție sql printre altele și injecția sql care acoperă toate atacurile sql. Putem adăuga și testa multe tipuri diferite de atacuri din lista pe care ne-o oferă Zap.

Apoi facem clic pe adăugare, apoi pe Acceptare și facem clic pe butonul Start Fuzzer pentru a începe auditul.

Ca urmare a scanării cu Injecție de sarcină utilă Da Injecție SQLAm detectat că internetul este vulnerabil la atacurile XSS și are cel puțin trei defecte atunci când se confruntă cu injecții sql cu risc ridicat și ne spune în ce pagini se află problema.
O altă analiză pe care o putem efectua este prin selectarea sarcinii utile a serverului Web, în ​​acest caz vom vedea că avem o problemă cu sesiunile și cookie-urile, deoarece acestea pot fi citite din browserul pe care îl folosim.

MARI

O altă opțiune este de a simula trafic de 10.000 de utilizatori aproape simultani, care vor naviga pe toate linkurile disponibile pe site-ul nostru web, generând solicitări pentru a vedea dacă site-ul web nu este saturat și nu este în funcțiune.
De exemplu, vom adăuga o sarcină utilă, selectăm domeniul sau pagina principală cu butonul din dreapta și vom merge la Atac> Fuzz, apoi facem clic pe Adăugare, apoi în ecranul Încărcare utilă facem clic pe Adăugare, selectăm tipul de fișier Fuzzer iar în jbrofuzz ​​am selectat Zero Fuzzers.

După executarea sarcinii utile, vom vedea traficul către paginile noastre, dar vom vedea și traficul către acele pagini web pe care le-am legat.

Putem vedea în cazul acestui site traficul generat pe facebook, twitter, linkedin, google plus, printre altele care alcătuiesc cu siguranță strategia de socializare a acestui site. Dacă avem Google Analytics sau Google Searh Console (anterior Webmastertools) De asemenea, va genera trafic, deci nu este bine să depășești aceste teste sau este mai bine să o faci local, cu Google Analytics dezactivat.

Internetul și aplicațiile web cresc numărul de utilizatori în fiecare zi, astfel încât cererea de experți și auditori în securitatea informațiilor în cadrul companiilor este foarte importantă.
Aceste teste nu sunt concludente, sunt doar o alertă, astfel încât să putem aprofunda ancheta. Aceste simulări de atac și scanări automate pot oferi o soluție rapidă pentru auditul site-urilor web.
Este important ca aceste instrumente să fie utilizate cu grijă și scopuri etice, deoarece sunt utilizate de webmasteri și de cei care gestionează servere și hackeri rău intenționați. OWASP ZAP este un instrument utilizat pe scară largă de cei care fac hacking etic pentru munca lor în aplicațiile de audit și testare a securității web.
Pentru mai multe informații despre securitatea IT cu alte tehnici, atacuri, hack etc. rămâneți la curent și împărtășiți-vă cunoștințele aici:

Tutoriale de securitate computerizată

V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv