OWASP ZAP (Zed Attack Proxy) — это многоцелевой инструмент сканирования, который помогает пентестерам и охотникам за багами уязвимости в веб-приложениях. Он снабжен прокси, активными и пассивными сканерами уязвимостей, фаззером, спайдером, отправителем HTTP-запросов и многим другим. В этом подробном руководстве я покажу, как использовать OWASP ZAP на Kali Linux.
Еще по теме: Взлом веб-приложения с помощью брута Burp Suite
Запуск и обновление OWASP ZAP
Прежде всего нужно запустить ZAP на Kali Linux и и обновить его. Сделать это можно различными способами, с помощью меню приложения Kali Linux —> Web Application Analysis (Анализ веб-приложений) —> ZAP, или найти в меню, как показано на скрине.
После запуска появиться главное окно ZAP:
Нажмите CTRL+U и обновите все надстройки, нажав Update All (Обновить все). На следующем снимке экрана мы видим, что наша эта система уже все обновила.
Иногда на некоторых ноутбуках экран обновления занимает весь экран, и не видна кнопка Update All. В таком случае просто уменьшите окно.
После завершения обновления необходимо настроить прокси в браузере.
Настройка прокси ZAP в браузере Firefox
Это очень похоже на настройку прокси для Burp и WebScarab. Нужно открыть браузер (в Kali Linux по умолчанию установлен браузер Firefox). В Firefox открыть меню и перейти к настройкам. На вкладке General (Общие) спуститесь вниз и в разделе Network Settings (Настройки сети), зайдите в Settings (Настройки).
Откроется новое окно, в котором нужно установить прокси. Отметье Manual proxy configuration (Ручная настройка прокси) и в поле HTTP-прокси, введите IP-адрес 127.0.0.1 и порт 8080.
Вы установили прокси в браузере Firefox.
Теперь, если зайти на сайт вы увидите предупреждение системы безопасности браузера. Нажмите на Advanced (Дополнительно).
Нажмите на Accept risk and continue (Принять риск и продолжить), после чего сертификат для ZAP будет добавлен для этого сайта.
Поиск файлов и папок с помощью ZAP
Установив ZAP в качестве прокси, можно приступить к сканированию сайта / веб-приложения.
Откройте сайт в браузере, и ZAP отреагирует на это действие, отобразив имя хоста на верхней левой панели. Кликните правой кнопкой мыши по имени хоста и выберите Attack (Атака) —> Forced Browse Directory (Принудительный просмотр каталога).
OWASP ZAP, используя словарь для по умолчанию, запустит перечисление каталогов.
Если хотите использовать другой словарь для брута (эта атака является брутом), зайдите в Instruments (Инструменты) —> Parametrs (Параметры) и на вкладкe Forced Browse (Принудительный просмотр), нажав на Select File, выберите словарь.
Создание копии сайта с помощью ZAP Spider
За создание копии сайта на жеском диски, отвечает ZAP Spider.
Кликните правой кнопкой мыши и выберите Atack (Атака) —> Spider (Паук).
После этого откроется следующее окно.
Нажмите на кнопку Start Scan (Начать сканирование). После запуска вы увидите процесс в нижней панели ZAP.
На верхней левой панели ZAP можно видеть структуру целевого сайта, методы запроса (GET/POST). Если кликнуть по строке, будет отображена подробная информация о запросе.
С правой стороны показан полный запрос, включая параметры, используемые ZAP.
Как работает паук в ZAP
Как и любой другой поисковый робот, паук ZAP переходит по каждой ссылке, которую он находит на на сайте. Кроме того, паук ZAP отслеживает ответы формы, перенаправления и URL-адреса, включенные в файлы robots.txt и sitemap.xml. Затем он сохраняет все запросы и ответы для последующего анализа и использования.
После сканирования сайта / веб-приложения можно использовать сохраненные запросы для выполнения некоторых тестов. ZAP позволяет делать следующее:
- Повторить запросы, которые изменяют некоторые данные.
- Выполнить активное и пассивное сканирование уязвимостей.
- Обработать входные переменные в поиске возможных векторов атаки.
- Воспроизвести определенные запросы в браузере.
Автоматический поиск уязвимостей с помощью ZAP
OSWAP ZAP — это инструмент, который помогает выполнять различные задачи, одна из которых — автоматическое сканирование целевого сайта.
Чтобы использовать эту функцию, нужно вручную установить прокси-сервер в браузере и открыть целевой сайт (как мы это делали ранее).
На вкладке Sites (Сайты), кликаем правой кнопкой мыши по сайту и выпадающем меню, выбираем Attack (Атака) —> Active Scan (Активное сканирование).
В появившемся окне, заполнить необходимую информацию.
После настройки, можно начать скарирование Start Scan.
Сканирование выявило 9 уязвимостей (вкладка Alerts🚩).
На уязвимом локальном сервере была найдена очень серьезная уязвимость.
Можно сохранить результат сканирования в формате CSV, HTML или XML.
Простое автоматическое сканирование на наличие уязвимостей
Если вы новичок в информационной безопасности, тогда просто откройте ZAP и запустите автоматическое сканирование Automated Scan. Появившемся всплывающее окне, введите целевой урл и нажмите⚡Attack (Атака).
После завершения, вы увидите отчет о найденных уязвимострях.
На этом все. Теперь вы знаете, как использовать OWASP ZAP на Kali Linux. Этих знаний будет достаточно, для будущего, самостоятельного изучения Zed Attack Proxy.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Проверка сайта на уязвимости
- Топовые инструменты для поиска уязвимостей сайтов
- Инструменты которые использую в соревнованиях CTF