Kuinka tarkastaa verkkosivusto OWASP ZAP: n avulla ja selvittää, onko haavoittuvuuksia

Tarkasta verkkosivusto OWASP ZAP: n avulla

OWASP ZAP (Zed Attack Proxy) on maailman eniten käytetty haavoittuvuuksien verkkoskanneri, se on täysin ilmainen ja avoimen lähdekoodin, joten voit mukauttaa sen tarpeisiisi. Tätä ohjelmaa ylläpitää aktiivisesti kansainvälinen vapaaehtoisten yhteisö, joka pyrkii parantamaan työkalua vähitellen ja sisällyttämään siihen myös uusia ominaisuuksia. Tänään opimme tässä artikkelissa kaiken, mitä tarvitset verkkosivustosi turvallisuuden tarkistamiseen, jotta vältetään haavoittuvuudet, jotka vaarantavat palvelimesi ja tietosi.

OWASP ZAP: n pääominaisuudet

Ensinnäkin meidän on ilmoitettava, että OWASP ZAP ei ole kaupallinen työkalu, se on täysin ilmainen ja avoin lähdekoodi, lisäksi se on monitasoinen työkalu, joka on yhteensopiva Windows käyttöjärjestelmät (32 ja 64 bittiä), Linux, MacOS ja jopa Voimme ladata Docker-säilön, joka sisältää kaiken tarvittavan sen oikeaan suorittamiseen. Tämä ohjelma on erittäin helppo asentaa, meidän on vain asennettava Java tietokoneellemme voidaksemme suorittaa sen, muita ominaisuuksia ovat, että tämä työkalu on käännetty yli 12 kielelle, mukaan lukien espanja, lisäksi yhteisön ansiosta meillä on paljon dokumentaatiota, opasoppaita ja meillä on myös foorumeita, joihin voimme laittaa ongelmamme ja auttaa ratkaisemaan sen.

Tämän tietoturva-rikosteknisen työkalun käyttäjät voivat tarkastaa erilaisia ​​verkkosovelluksia useilla erityisillä toiminnoilla ja analyyseillä. Pystymme tarkistamaan kaikki pyynnöt ja vastaukset asiakkaan ja palvelimen välillä perustamalla välityspalvelimen, joka vastaa kaikkien lisätutkimusten pyytämisestä. Voimme myös paikantaa resursseja palvelimelta, suorittaa automaattisen analyysin, passiivisen analyysin, mahdollisuuden käynnistää useita hyökkäyksiä samanaikaisesti ja jopa käyttää dynaamisia SSL-varmenteita. Muita mielenkiintoisia ominaisuuksia ovat se, että se sallii älykorttien, kuten DNIe: n, ja jopa henkilökohtaisten varmenteiden käytön, se pystyy myös työskentelemään todennusjärjestelmien kanssa ja meillä on varastossa laajennuksia (laajennuksia) tämän suuren työkalun toimintojen lisäämiseksi. .

ZAP on tällä hetkellä versiossaan 2.10, ja niihin on sisällytetty suuri määrä uusia toimintoja, kuten uusia hyökkäystiloja haavoittuvuuksien etsimiseen, injektiojärjestelmän parannuksia useiden palvelimien hyökkäykseen samanaikaisesti, käytäntöjärjestelmiä valitsemaan erilaisia ​​sääntöjä, jotka muodostuvat osa analyysiä, skannausvalintaikkunat lisäasetuksilla, uudet kulunvalvontalaajennukset ja skannaussekvenssi, jotta voit määrittää täydellisesti, miten haluamme hyökkäyksen ja haavoittuvuuden tarkistuksen ja paljon muuta.

On OWASP ZAP: n virallinen verkkosivusto löydät linkit sen lataamiseen sekä Windows-, Linux- ja macOS-käyttöjärjestelmille että Docker-säilöt, jotka sisältävät jo kaiken tarvittavan sen oikeaan toimintaan.

Asennus ja käyttöönotto

Tämän ohjelman asennus on todella yksinkertaista, meidän on yksinkertaisesti noudatettava ohjattua asennustoimintoa, valittava, haluammeko vakio- vai mukautetun asennuksen, sitten voimme valita hakemiston, johon koko ohjelma asennetaan, ja sitten suorittaa sen.

Voimme myös valita luoda kansion Käynnistä-valikossa, luoda kuvakkeita työpöydälle ja jopa nopean pääsyn. Lopuksi, OWASP ZAP antaa meille mahdollisuuden tarkistaa päivitykset sekä itse ZAP: lle että myös asennettaville lisäosille. Lisäksi voimme myös asentaa uudet säännöt, jotka on luotu verkkoskannereille jne.

Asennuksen jälkeen voimme suorittaa sen aloittaaksesi verkkopalvelimien skannauksen ja tarkistaaksesi mahdolliset tunnetut turvallisuusvirheet.

Tarkista verkkopalvelimesi haavoittuvuudet

Ensimmäinen asia, joka meidän on tehtävä, on ajaa tämä ohjelma, se kestää muutaman sekunnin ladata oikein.

Kun se on aloitettu, voimme määrittää ZAP-istunnon tallentamaan myöhemmin koko projektin ja tietoturvatarkastuksen yhteydessä ottamamme tiedot verkkopalvelimelle. Meillä on yhteensä kolme vaihtoehtoa, vaikka espanjankielinen käännös ei ole kovin hyvin tehty, se ymmärretään melko hyvin.

Päävalikossa meillä on mahdollisuus suorittaa automaattinen tarkistus tai manuaalinen tarkistus, jos olemme aiemmin määrittäneet haluamasi. Voimme myös käyttää suoraan työkalun apua.

Jos napsautamme "Automaattinen tarkistus", voimme suorittaa automaattisen tarkistuksen haluamaasi URL-osoitteeseen, voimme laittaa minkä tahansa URL-osoitteen hyökkäykseen joko IP-osoitteella tai verkkotunnuksella, erittäin tärkeä yksityiskohta on, että meillä on oltava lupa suorittaa tämän tyyppinen tarkastus ja tee se huolellisesti, koska verkkohyökkäyshälytykset voivat siirtyä määrittämäämme IDS / IPS: ään ja myös Apache-palvelimemme mod_securityyn jne.

Meillä on mahdollisuus käyttää perinteistä tai Ajax-hämähäkkiä, lisäksi pystymme hyödyntämään kromi, Firefox muiden joukossa. Kun olemme määrittäneet kaiken, napsautamme "Hyökkäys" ja se alkaa skannata koko verkkopalvelimen, joka tekee GET- ja POST-pyynnöt mahdollisten haavoittuvuuksien havaitsemiseksi sovelluksessa.

Milloin tahansa voimme pysäyttää tämän hyökkäyksen ja tarkistaa kaiken, mitä olet analysoinut. Alareunassa näemme kaikki tiedot. Meillä on mahdollisuus nähdä turvallisuuden tarkistamiseksi tehtyjen hyökkäysten historia, ja voimme jopa hyökätä sitä uudelleen ja monia muita lisäasetuksia.

Meidän tapauksessamme olemme hyökänneet QNAP NAS -palvelimen verkkopalvelimeen, joka on päivitetty uusimpaan versioon. Voimme nähdä monia GET- ja POST-pyyntöjä itse HTTP / HTTPS-palvelusta. Vasemmassa alakulmassa näemme kaikki hälytyksemme, napsauttamalla kutakin niistä voimme nähdä oikeassa osassa, minkä tyyppisen haavoittuvuuden tai virheen olemme löytäneet, ja yläosassa näemme kaiken raakana.

Riippuen siitä, mitä avaamme hälytyksissä, näemme yhden tai toisen tiedon, on suositeltavaa tarkistaa kaikki nämä ilmoitukset, jotka OWASP ZAP antaa meille varmistaaksemme, että kaikki on oikein ja ettei siinä ole turvallisuusvirheitä.

Hämähäkki on myös työskennellyt tämän verkkopalvelimen kanssa ja pyytänyt verkkopalvelinta yrittämään näyttää meille kaikki siinä olevat tiedostot, voimme nähdä myös tiedostot, joita ei ole tai jotka ovat ulottumattomissa.

Seuraavassa näytössä näet verkkopalvelimen CSS-koodin, kuten näette, löydämme kaikki tarvittavat tiedot verkkosovelluksemme turvallisuuden arvioimiseksi ja jos olemme estäneet pääsyn eri osiin.

Jos napsautamme «Lähetetyt viestit», voimme nähdä kaikki tekemämme POST-viestit, vastaanotetun koodin, RTT: n ja paljon muuta asiaan liittyvää tietoa.

Ohjelman yläosassa on eri "File", "Edit", "View", "Analyze", "Report", "Tools", "Import", "Online" ja "Help" valikot. Tämä ohjelma on todella edistynyt ja antaa meille suuren konfiguroitavuuden.

Kun QNAP havaitsee, että joku yrittää kirjautua epäonnistuneesti useita kertoja, se asettaa meidät automaattisesti mustalle listalle, joten meidän on otettava huomioon joko L7: n web-palvelimen suojaukset palomuuri jonka olemme määrittäneet, IDS / IPS, joka havaitsee epänormaalin liikenteen jne.

Kuten olet nähnyt, OWASP ZAP on erittäin edistynyt työkalu palvelimemme ja verkkosovelluksemme turvallisuuden tarkistamiseen, on välttämätöntä, että kehittäessämme verkkosovellusta teemme tietoturvatarkastuksen varmistaaksemme, että kaikki on oikein ja onko ei vikaa turvallisuudessa, jota voitaisiin hyödyntää.