วิธีตรวจสอบเว็บไซต์ด้วย OWASP ZAP และดูว่ามีช่องโหว่หรือไม่

OWASP ZAP คุณสมบัติหลัก

สิ่งแรกที่เราต้องระบุก็คือ OWASP ZAP ไม่ใช่เครื่องมือทางการค้าเป็นฟรีและโอเพ่นซอร์สอย่างสมบูรณ์นอกจากนี้ยังเป็นเครื่องมือหลายแพลตฟอร์มที่เข้ากันได้กับ Windows ระบบปฏิบัติการ (32 และ 64 บิต) ลินุกซ์, MacOS และแม้แต่เราสามารถดาวน์โหลด Docker container ที่จะรวมทุกสิ่งที่จำเป็นเพื่อให้ทำงานได้อย่างถูกต้อง โปรแกรมนี้ติดตั้งง่ายมากเราจะต้องติดตั้ง Java ในคอมพิวเตอร์ของเราเท่านั้นจึงจะสามารถใช้งานได้ลักษณะอื่น ๆ คือเครื่องมือนี้ได้รับการแปลเป็นภาษาต่างๆมากกว่า 12 ภาษารวมถึงภาษาสเปนด้วยนอกจากนี้ต้องขอบคุณชุมชน เรามีเอกสารมากมายบทช่วยสอนและเรายังมีฟอรัมที่เราสามารถใส่ปัญหาและช่วยเราแก้ไขได้

ผู้ใช้เครื่องมือทางนิติวิทยาศาสตร์ความปลอดภัยนี้จะสามารถตรวจสอบเว็บแอปพลิเคชันต่างๆด้วยชุดฟังก์ชันและการวิเคราะห์ที่เฉพาะเจาะจง เราจะสามารถตรวจสอบคำขอและการตอบกลับทั้งหมดระหว่างไคลเอนต์และเซิร์ฟเวอร์ตั้งค่าพร็อกซีที่จะรับผิดชอบในการรวบรวมคำขอทั้งหมดสำหรับการศึกษาเพิ่มเติม นอกจากนี้เรายังสามารถค้นหาทรัพยากรบนเซิร์ฟเวอร์ทำการวิเคราะห์อัตโนมัติวิเคราะห์เชิงรับความเป็นไปได้ในการโจมตีหลายครั้งพร้อมกันและแม้แต่ใช้ใบรับรอง SSL แบบไดนามิก คุณสมบัติที่น่าสนใจอื่น ๆ คืออนุญาตให้ใช้สมาร์ทการ์ดเช่น DNIe และแม้แต่ใบรับรองส่วนบุคคลก็ยังสามารถทำงานร่วมกับระบบตรวจสอบความถูกต้องและเรามีที่เก็บส่วนขยาย (ปลั๊กอิน) เพื่อเพิ่มฟังก์ชันการทำงานของเครื่องมือที่ยอดเยี่ยมนี้ .

ขณะนี้ ZAP อยู่ในเวอร์ชัน 2.10 และได้รวมฟังก์ชันใหม่จำนวนมากเข้าด้วยกันเช่นโหมดการโจมตีใหม่เพื่อค้นหาช่องโหว่การปรับปรุงระบบฉีดเพื่อโจมตีเซิร์ฟเวอร์หลายเครื่องพร้อมกันระบบนโยบายเพื่อเลือกกฎต่างๆที่จะก่อตัวขึ้น เป็นส่วนหนึ่งของการวิเคราะห์กล่องโต้ตอบการสแกนพร้อมตัวเลือกขั้นสูงปลั๊กอินควบคุมการเข้าถึงใหม่และลำดับการสแกนเพื่อกำหนดค่าอย่างสมบูรณ์แบบว่าเราต้องการให้ดำเนินการโจมตีและการตรวจสอบช่องโหว่อย่างไรและอื่น ๆ อีกมากมาย

เกี่ยวกับ เว็บไซต์อย่างเป็นทางการของ OWASP ZAP คุณสามารถค้นหาลิงก์เพื่อดาวน์โหลดได้ทั้งสำหรับ Windows, Linux และ macOS รวมถึงคอนเทนเนอร์ Docker ที่มีทุกสิ่งที่จำเป็นสำหรับการทำงานที่ถูกต้องอยู่แล้ว

การติดตั้งและการว่าจ้าง

การติดตั้งโปรแกรมนี้ง่ายมากเพียงแค่ทำตามวิซาร์ดการติดตั้งเลือกว่าเราต้องการติดตั้งแบบมาตรฐานหรือแบบกำหนดเองจากนั้นเราสามารถเลือกไดเร็กทอรีที่จะติดตั้งโปรแกรมทั้งหมดแล้วเรียกใช้

นอกจากนี้เรายังสามารถเลือกสร้างโฟลเดอร์ในเมนูเริ่มสร้างไอคอนบนเดสก์ท็อปและแม้แต่การเข้าถึงอย่างรวดเร็ว ในที่สุด OWASP ZAP จะช่วยให้เราตรวจสอบการอัปเดตทั้งสำหรับ ZAP เองและสำหรับส่วนเสริมที่เราสามารถติดตั้งได้ นอกจากนี้เรายังสามารถติดตั้งกฎใหม่ที่สร้างขึ้นสำหรับโปรแกรมสแกนเว็บเป็นต้น

เมื่อติดตั้งแล้วเราสามารถเรียกใช้เพื่อเริ่มการสแกนเว็บเซิร์ฟเวอร์และตรวจสอบข้อบกพร่องด้านความปลอดภัยที่ทราบ

ตรวจสอบช่องโหว่ของเว็บเซิร์ฟเวอร์ของคุณ

สิ่งแรกที่เราต้องทำคือเรียกใช้โปรแกรมนี้จะใช้เวลาไม่กี่วินาทีในการโหลดอย่างถูกต้อง

เมื่อเริ่มต้นแล้วเราสามารถกำหนดค่าเซสชัน ZAP เพื่อบันทึกโปรเจ็กต์ทั้งหมดในภายหลังและข้อมูลที่เราได้ดำเนินการกับการตรวจสอบความปลอดภัยไปยังเว็บเซิร์ฟเวอร์ เราจะมีตัวเลือกทั้งหมดสามตัวเลือกแม้ว่าการแปลภาษาสเปนจะทำได้ไม่ดีนัก แต่ก็ค่อนข้างเข้าใจดี

ในเมนูหลักเราจะมีความเป็นไปได้ที่จะทำการสแกนอัตโนมัติหรือสแกนด้วยตนเองหากเราได้กำหนดสิ่งที่เราต้องการไว้ก่อนหน้านี้ นอกจากนี้เรายังสามารถเข้าถึงความช่วยเหลือของเครื่องมือได้โดยตรง

หากเราคลิกที่ "สแกนอัตโนมัติ" เราสามารถทำการสแกนอัตโนมัติไปยัง URL ที่เราต้องการเราสามารถใส่ URL ใดก็ได้เพื่อโจมตีไม่ว่าจะด้วยที่อยู่ IP หรือโดเมนรายละเอียดที่สำคัญมากคือเราจะต้องได้รับอนุญาต เพื่อทำการตรวจสอบประเภทนี้และทำอย่างระมัดระวังเนื่องจากการแจ้งเตือนการโจมตีเว็บสามารถข้ามไปใน IDS / IPS ที่เราได้กำหนดค่าไว้และใน mod_security ของเซิร์ฟเวอร์ Apache ของเราเป็นต้น

เราจะมีความเป็นไปได้ในการใช้แมงมุมแบบดั้งเดิมหรือ Ajax นอกจากนี้เราจะสามารถใช้ประโยชน์จากโปรไฟล์ของ Chrome, Firefox ท่ามกลางคนอื่น ๆ. เมื่อเรากำหนดค่าทุกอย่างเรียบร้อยแล้วให้คลิกที่“ Attack” และมันจะเริ่มสแกนเว็บเซิร์ฟเวอร์ทั้งหมดเพื่อขอ GET และ POST เพื่อตรวจหาช่องโหว่ที่อาจเกิดขึ้นในแอปพลิเคชัน

เมื่อใดก็ได้เราสามารถหยุดการโจมตีนี้และตรวจสอบทุกสิ่งที่คุณวิเคราะห์ได้ ด้านล่างเป็นที่ที่เราสามารถดูข้อมูลทั้งหมดได้ เราจะมีความเป็นไปได้ที่จะเห็นประวัติการโจมตีที่ดำเนินการเพื่อตรวจสอบความปลอดภัยและเรายังสามารถโจมตีอีกครั้งและตัวเลือกขั้นสูงอื่น ๆ อีกมากมาย

ในกรณีของเราเราได้โจมตีเว็บเซิร์ฟเวอร์ของเซิร์ฟเวอร์ QNAP NAS ที่อัปเดตเป็นเวอร์ชันล่าสุด เราจะสามารถเห็นคำขอ GET และ POST จำนวนมากจากบริการ HTTP / HTTPS เอง ในส่วนล่างซ้ายเราจะเห็นการแจ้งเตือนทั้งหมดที่เรามีโดยการคลิกที่การแจ้งเตือนแต่ละรายการเราจะเห็นในส่วนด้านขวาว่าเราพบช่องโหว่หรือข้อผิดพลาดประเภทใดและในส่วนบนเราจะเห็นข้อมูลทั้งหมดที่เป็นข้อมูลดิบ

ขึ้นอยู่กับสิ่งที่เราเปิดในการแจ้งเตือนเราจะเห็นข้อมูลอย่างใดอย่างหนึ่งขอแนะนำให้ตรวจสอบการแจ้งเตือนเหล่านี้ทั้งหมดที่ OWASP ZAP ให้เราตรวจสอบว่าทุกอย่างถูกต้องและไม่มีข้อบกพร่องด้านความปลอดภัย

สไปเดอร์ได้ทำงานร่วมกับเว็บเซิร์ฟเวอร์นี้เช่นกันโดยขอให้เว็บเซิร์ฟเวอร์พยายามแสดงไฟล์ทั้งหมดที่มีอยู่ในนั้นให้เราดูไฟล์ที่ไม่มีอยู่หรือไม่สามารถเข้าถึงได้

ในหน้าจอถัดไปคุณจะเห็นโค้ด CSS ของเว็บเซิร์ฟเวอร์ดังที่คุณเห็นเราจะพบข้อมูลทั้งหมดที่จำเป็นในการประเมินความปลอดภัยของเว็บแอปพลิเคชันของเราและหากเราปฏิเสธการเข้าถึงส่วนต่างๆ

หากเราคลิกที่«ข้อความที่ถูกส่ง»เราจะสามารถดู POST ทั้งหมดที่เราได้สร้างขึ้นพร้อมกับรหัสที่ได้รับ RTT และข้อมูลอื่น ๆ ที่เกี่ยวข้องอีกมากมาย

ในส่วนบนของโปรแกรมเราจะเห็นเมนู“ ไฟล์”“ แก้ไข”“ ดู”“ วิเคราะห์”“ รายงาน”“ เครื่องมือ”“ นำเข้า”“ ออนไลน์” และ“ ความช่วยเหลือ” ที่แตกต่างกัน โปรแกรมนี้เป็นโปรแกรมขั้นสูงและจะช่วยให้เราสามารถกำหนดค่าได้อย่างยอดเยี่ยม

ในกรณีของ QNAP เมื่อตรวจพบว่ามีผู้พยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งระบบจะทำให้เราอยู่ในบัญชีดำโดยอัตโนมัติดังนั้นเราจึงต้องคำนึงถึงการป้องกันของเว็บเซิร์ฟเวอร์ด้วยเช่นกันโดย L7 ไฟร์วอลล์ ที่เรากำหนดค่าไว้ IDS / IPS ที่จะตรวจจับการรับส่งข้อมูลที่ผิดปกติเป็นต้น

อย่างที่คุณเห็น OWASP ZAP เป็นเครื่องมือขั้นสูงในการตรวจสอบความปลอดภัยของเซิร์ฟเวอร์และเว็บแอปพลิเคชันของเราเป็นสิ่งสำคัญที่เมื่อเราพัฒนาเว็บแอปพลิเคชันเราจะดำเนินการตรวจสอบความปลอดภัยเพื่อตรวจสอบว่าทุกอย่างถูกต้องและมี ไม่มีความผิดในการรักษาความปลอดภัยที่สามารถใช้ประโยชน์ได้