OWASP ZAP (Zed Attack Proxy) — это многоцелевой инструмент сканирования, который помогает пентестерам и охотникам за багами уязвимости в веб-приложениях. Он снабжен прокси, активными и пассивными сканерами уязвимостей, фаззером, спайдером, отправителем HTTP-запросов и многим другим. В этом подробном руководстве я покажу, как использовать OWASP ZAP на Kali Linux.
Еще по теме: Взлом веб-приложения с помощью брута Burp Suite
Запуск и обновление OWASP ZAP
Прежде всего нужно запустить ZAP на Kali Linux и и обновить его. Сделать это можно различными способами, с помощью меню приложения Kali Linux —> Web Application Analysis (Анализ веб-приложений) —> ZAP, или найти в меню, как показано на скрине.
После запуска появиться главное окно ZAP:
Нажмите CTRL+U и обновите все надстройки, нажав Update All (Обновить все). На следующем снимке экрана мы видим, что наша эта система уже все обновила.
Иногда на некоторых ноутбуках экран обновления занимает весь экран, и не видна кнопка Update All. В таком случае просто уменьшите окно.
После завершения обновления необходимо настроить прокси в браузере.
Настройка прокси ZAP в браузере Firefox
Это очень похоже на настройку прокси для Burp и WebScarab. Нужно открыть браузер (в Kali Linux по умолчанию установлен браузер Firefox). В Firefox открыть меню и перейти к настройкам. На вкладке General (Общие) спуститесь вниз и в разделе Network Settings (Настройки сети), зайдите в Settings (Настройки).
Откроется новое окно, в котором нужно установить прокси. Отметье Manual proxy configuration (Ручная настройка прокси) и в поле HTTP-прокси, введите IP-адрес 127.0.0.1 и порт 8080.
Вы установили прокси в браузере Firefox.
Для быстрого переключения Proxy можно использовать расширение FoxyProxy.
Теперь, если зайти на сайт вы увидите предупреждение системы безопасности браузера. Нажмите на Advanced (Дополнительно).
Нажмите на Accept risk and continue (Принять риск и продолжить), после чего сертификат для ZAP будет добавлен для этого сайта.
Поиск файлов и папок с помощью ZAP
Установив ZAP в качестве прокси, можно приступить к сканированию сайта / веб-приложения.
Откройте сайт в браузере, и ZAP отреагирует на это действие, отобразив имя хоста на верхней левой панели. Кликните правой кнопкой мыши по имени хоста и выберите Attack (Атака) —> Forced Browse Directory (Принудительный просмотр каталога).
OWASP ZAP, используя словарь для по умолчанию, запустит перечисление каталогов.
Если хотите использовать другой словарь для брута (эта атака является брутом), зайдите в Instruments (Инструменты) —> Parametrs (Параметры) и на вкладкe Forced Browse (Принудительный просмотр), нажав на Select File, выберите словарь.
Создание копии сайта с помощью ZAP Spider
За создание копии сайта на жеском диски, отвечает ZAP Spider.
Кликните правой кнопкой мыши и выберите Atack (Атака) —> Spider (Паук).
После этого откроется следующее окно.
Нажмите на кнопку Start Scan (Начать сканирование). После запуска вы увидите процесс в нижней панели ZAP.
На верхней левой панели ZAP можно видеть структуру целевого сайта, методы запроса (GET/POST). Если кликнуть по строке, будет отображена подробная информация о запросе.
С правой стороны показан полный запрос, включая параметры, используемые ZAP.
Как работает паук в ZAP
Как и любой другой поисковый робот, паук ZAP переходит по каждой ссылке, которую он находит на на сайте. Кроме того, паук ZAP отслеживает ответы формы, перенаправления и URL-адреса, включенные в файлы robots.txt и sitemap.xml. Затем он сохраняет все запросы и ответы для последующего анализа и использования.
После сканирования сайта / веб-приложения можно использовать сохраненные запросы для выполнения некоторых тестов. ZAP позволяет делать следующее:
- Повторить запросы, которые изменяют некоторые данные.
- Выполнить активное и пассивное сканирование уязвимостей.
- Обработать входные переменные в поиске возможных векторов атаки.
- Воспроизвести определенные запросы в браузере.
Автоматический поиск уязвимостей с помощью ZAP
OSWAP ZAP — это инструмент, который помогает выполнять различные задачи, одна из которых — автоматическое сканирование целевого сайта.
Чтобы использовать эту функцию, нужно вручную установить прокси-сервер в браузере и открыть целевой сайт (как мы это делали ранее).
На вкладке Sites (Сайты), кликаем правой кнопкой мыши по сайту и выпадающем меню, выбираем Attack (Атака) —> Active Scan (Активное сканирование).
В появившемся окне, заполнить необходимую информацию.
После настройки, можно начать скарирование Start Scan.
Сканирование выявило 9 уязвимостей (вкладка Alerts🚩).
На уязвимом локальном сервере была найдена очень серьезная уязвимость.
Можно сохранить результат сканирования в формате CSV, HTML или XML.
Простое автоматическое сканирование на наличие уязвимостей
Если вы новичок в информационной безопасности, тогда просто откройте ZAP и запустите автоматическое сканирование Automated Scan. Появившемся всплывающее окне, введите целевой урл и нажмите⚡Attack (Атака).
После завершения, вы увидите отчет о найденных уязвимострях.
На этом все. Теперь вы знаете, как использовать OWASP ZAP на Kali Linux. Этих знаний будет достаточно, для будущего, самостоятельного изучения Zed Attack Proxy.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Проверка сайта на уязвимости
- Топовые инструменты для поиска уязвимостей сайтов
- Инструменты которые использую в соревнованиях CTF