Skanuj lukę w witrynie za pomocą ZAP

ZAP (Proxy Ataku Zedów) to narzędzie do testów penetracyjnych do testowania stron internetowych. Jest to skaner umożliwiający automatyczne testy bezpieczeństwa sieci. W tym samouczku dowiemy się, jak korzystać z kontroli bezpieczeństwa poprzez wykonywanie automatycznych ataków.
Jest przeznaczony do użytku przez początkujących w bezpieczeństwie lub przez ekspertów posiadających rozległą wiedzę na temat bezpieczeństwa. Jest to bardzo ważne oprogramowanie dla programistów i administratorów serwerów, którzy chcą przeprowadzać funkcjonalne testy penetracyjne zabezpieczeń.
Niektóre firmy korzystające i współpracujące z ZAP to: OWASP, Mozilla, Google, Microsoft i inne.
Zap można pobrać z oficjalnej strony projektu OWASP Zed Attack Proxy Project, istnieją wersje na różne platformy natywne lub multiplatforma w Javie.

W tym przypadku użyjemy wersji Cross platform lub multiplatform, która zawiera wszystkie wersje, które są zaprogramowane w Javie, aby ją uruchomić będziemy musieli mieć zainstalowane JRE 7 (środowisko wykonawcze Java) lub wyżej.
Po pobraniu rozpakowujemy plik i uruchamiamy go jak każde oprogramowanie Java, w tym przypadku używamy Linuksa.
Z dowolnego systemu operacyjnego możemy wykonać z bezpośredniego dostępu lub z terminala za pomocą polecenia

 java -jar zap-2.4.2.jar

Akceptujemy warunki przedstawione podczas uruchamiania i przechodzimy do głównego ekranu oprogramowania.

Przeprowadzimy test bezpieczeństwa, możesz użyć domeny lub ip sieci w tym przypadku użyjemy ip 67.222.16.108.
Dodajemy ip w adresie URL do pola tekstowego ataku, a następnie klikamy przycisk Atak. Po zeskanowaniu wszystkich znalezionych w sieci stron otrzymamy wynik.

Widzimy, że znaleziono pewne luki, takie jak:
X-Frame, czyli luka, która pozwala wyświetlić całą witrynę w iframe, a tym samym sprawić, że ktoś pomyśli, że przegląda witrynę, podczas gdy w rzeczywistości ma inną zawartą w iframe. Załóżmy, że tworzymy witrynę internetową, umieszczamy Facebooka w jednym iframe i formularz Paypal w drugim, symulując, że Facebook pobiera opłaty za rejestrację, więc w przypadku dowolnej witryny płatność w rzeczywistości trafiłaby do atakującego.

Ten rodzaj ataku nazywa się clickjacking i można temu zapobiec na przykład za pomocą JavaScript, umieszczając ten kod w tagach sieci.

 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }

Inną usterką znalezioną w tym IP jest to, że nie ma ochrony XSS, można to zaimplementować w zależności od używanego języka programowania.
Unikać Ataki XSS łatwo jest użyć wielu bibliotek w dowolnej aplikacji internetowej.
Metoda obejmuje weryfikację danych wprowadzanych przez użytkowników lub z dowolnego zewnętrznego źródła danych lub dowolnego parametru, który został przesłany przez url.
Te troski są jedynymi, które musimy wziąć pod uwagę, aby zapobiec Ataki XSS i zwiększyć bezpieczeństwo zapobiegające atakom XSS, w tym celu musimy przeprowadzać walidację danych, kontrolować dane, które otrzymuje aplikacja i zapobiegać użyciu lub wykonaniu niebezpiecznego kodu podczas wprowadzania danych.
Przykładowa funkcja strip_tag () w php
Ta funkcja usuwa każdy znak html, który zawiera opis zmiennej $, z wyjątkiem tych, które autoryzuje, jak w tym przypadku

akapit i pogrubiona czcionka

 $ description = strip_tags ($ _ POST [opis], ’
,’);

Teraz, gdy dokonaliśmy pierwszej analizy, zaczniemy stosować różne narzędzia i wtyczki do Fuzzingu, nazywa się to Fuzzingiem, aby użyć różnych technik testowania, które wysyłają dane do aplikacji w sposób masowy i sekwencyjny, aby spróbować wykryć luki w sieci lub w analizowanym przez nas oprogramowaniu.
Na przykład bierzemy każdą stronę internetową, która jest potencjalnie podatna na tego typu zagrożenia
http://www.dominio/i… rdetalle & id = 105
W innym samouczku SQLMAP, narzędziu SQL Injection i Ethical database hacking wyjaśnił, że łatwym sposobem na znalezienie strony do analizy jest umieszczenie section.php?Id = w wyszukiwarce Google, a zobaczymy tysiące stron, które mogą być podatne na ataki . Tutaj masz to na wypadek, gdybyś był zainteresowany:

Narzędzie do wstrzykiwania SQL

Analizujemy witrynę i widzimy listę podatnych stron.

Następnie bierzemy jedną ze stron, w tym przypadku index.php, która ma dwie zmienne id i section, a następnie klikamy prawym przyciskiem myszy tę stronę.

Wchodzimy do menu Atak i wybieramy Fuzz, otwiera się okno Fuzzer i klikamy puste pole tekstowe, co aktywuje przycisk Dodaj, który pozwoli nam dodać określony typ ataku.

Następnie zobaczymy ekran Ładunki. Funkcje lub exploity udostępniane przez oprogramowanie w celu testowania i wyszukiwania luk w zabezpieczeniach oraz powodowania błędów w kontrolowanej przez nas sieci noszą nazwę Payload. Na tym ekranie klikamy Dodaj, aby dodać ładunek.
W tym miejscu możemy wybrać rodzaj ataku do wykonania, wybrać typ File fuzzer oraz wybrać Payload Injection, który obejmuje ataki xss, między innymi sql injection attack oraz sql injection, który obejmuje wszystkie ataki sql. Możemy dodać i przetestować wiele różnych rodzajów ataków z listy, którą oferuje nam Zap.

Następnie klikamy Dodaj, następnie Akceptuj i kliknij przycisk Uruchom Fuzzer, aby rozpocząć audyt.

W wyniku skanowania za pomocą Wstrzyknięcie ładunku Tak Wstrzyknięcie SQL, wykryliśmy, że sieć jest podatna na ataki XSS i ma co najmniej trzy wady w przypadku wstrzyknięć sql wysokiego ryzyka oraz informuje nas, na których stronach występuje problem.
Inną analizą, którą możemy wykonać, jest wybranie ładunku serwera WWW, w tym przypadku zobaczymy, że mamy problem z sesjami i plikami cookie, ponieważ można je odczytać z przeglądarki, z której korzystamy.

POWIĘKSZAĆ

Inną opcją jest symulacja ruch z 10 000 prawie jednoczesnych użytkowników, którzy będą nawigować wszystkimi linkami dostępnymi na naszej stronie, generując prośby o sprawdzenie, czy strona nie jest nasycona i nie działa.
Np. zamierzamy dodać ładunek, prawym przyciskiem wybieramy domenę lub stronę główną i przechodzimy do Attack> Fuzz, następnie klikamy Add, następnie w ekranie Payload klikamy Add, wybieramy File Fuzzer type a w jbrofuzz ​​wybraliśmy Zero Fuzzers.

Po wykonaniu ładunku zobaczymy ruch na naszych stronach, ale zobaczymy również ruch do tych stron internetowych, które powiązaliśmy.

W przypadku tej strony widzimy ruch generowany m.in. na facebook, twitter, linkedin, google plus, które z pewnością składają się na strategię social media tej strony. Jeśli mamy Google Analytics lub Google Search Console (dawniej Narzędzia dla webmasterów) Będzie też generował ruch, więc nie warto przekraczać tych testów, albo lepiej zrobić to lokalnie, z wyłączoną analityką Google.

Internet i aplikacje webowe każdego dnia zwiększają liczbę użytkowników, dlatego zapotrzebowanie na ekspertów i audytorów bezpieczeństwa informacji w firmach jest bardzo ważne.
Testy te nie są rozstrzygające, stanowią jedynie ostrzeżenie, abyśmy mogli pogłębić śledztwo. Te symulacje ataków i automatyczne skanowanie mogą zapewnić szybkie rozwiązanie do audytu witryn internetowych.
Ważne jest, aby narzędzia te były używane z ostrożnością i w celach etycznych, ponieważ są używane przez webmasterów i osoby zarządzające serwerami oraz złośliwych hakerów. OWASP ZAP jest narzędziem szeroko stosowanym przez tych, którzy zajmują się etycznym hakowaniem do pracy nad audytem bezpieczeństwa sieci i testowaniem aplikacji.
Więcej informacji na temat bezpieczeństwa IT z innymi technikami, atakami, hackowaniem itp. bądź na bieżąco i dziel się swoją wiedzą tutaj:

Samouczki dotyczące bezpieczeństwa komputerowego

Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt