OWASP ZAP - прокси для атаки Zed

(Ди Симоне Домини)
17/08/21

То, что я собираюсь описать вам, - это событие, которое часто происходило много лет назад, но теперь, к счастью, оно стало довольно редким: мы находимся на веб-портале, который собирает обзоры фильмов, и мы хотим найти его на «Человеке, который знал» Слишком много". Мы определяем внутреннюю поисковую систему портала, вставляем «лучшие фильмы года» в доступное поле и нажимаем на кнопку «поиск».

В этот момент наш браузер сообщает о странной странице ответа, на которой есть узнаваемые части портала, но они плохо отформатированы, фрагменты языка программирования ... Что случилось?

Если вместо того, чтобы искать другой портал с фильмами, мы остановимся на этом странном событии, с помощью Google мы могли бы обнаружить, что причиной этой медвежьей услуги был символ, содержащийся в строке «Человек, который слишком много знал»: апостроф.

В языке программирования апостроф (или надстрочный индекс) может иметь огромное значение, и если сценарий, который управляет поиском на соответствующем портале, не принимает во внимание эту возможность, то этот сценарий и модуль, которым он управляет, уязвимы.

Что на практике означает уязвимость? Это означает, что этот модуль может использоваться для вставки вредоносного кода, который может поставить под угрозу функциональность портала или, что еще хуже, раскрыть все данные других пользователей, зарегистрированных в нем.

В настоящее время существует множество инструментов, которые пытаются повторить описанное выше событие. Обычно достаточно указать адрес анализируемого веб-сайта: инструмент перемещается по страницам сайта в поисках модуля, который нужно прикрепить, и, если он его находит, пытается вставить части кода. Если он получает известный ответ, он помечает эту страницу как «уязвимую». К сожалению, уязвимость в этом примере является одной из самых классических уязвимостей; есть тысячи других, и каждый день выходят новые. Точно так же инструменты, используемые для поиска этих уязвимостей, сегодня работают, а на следующий день бесполезны, потому что они устарели.

Так? К счастью, есть бесплатные инструменты, такие как OWASP ZAP (Zed Attack Proxy), инструмент, созданный в соответствии с принципами OWASP Foundation (Open Web Application Security Project), чтобы предложить каждому возможность анализировать свои приложения и веб-сайты, делая их более удобными. безопасно.

ZAP - это инструмент, доступный каждому, от самого неопытного пользователя до профессионала в своем секторе; это открытый исходный код, он содержит большинство уязвимостей, которые все еще существуют, и постоянно обновляется специализированным сообществом.

Монтаж

Как уже было сказано, ZAP - это открытые источники, для которого его можно бесплатно скачать по этой ссылке (https://www.zaproxy.org/download/); единственное необходимое условие - наличие Java 8+, чтобы все его модули работали. Одна из его особенностей заключается в том, что он доступен для многих типов платформ и операционных систем, и даже доступна версия, которую можно использовать на Raspberry.

После загрузки процедура установки действительно проста и интуитивно понятна.

Funzionamento

ZAP Это в основном прокси-сервер, который фактически хранит все данные, поступающие с сайта, который мы анализируем, и обрабатывает их, отправляя их в архив уязвимостей, которыми он обладает. Для этого ZAP имеет два режима анализа: по умолчанию это сканирование, которое мы можем назвать «легким», но при желании вы можете увеличить жестокость атаки, чтобы провести более глубокий анализ. Этот последний режим, естественно, подразумевает увеличение времени выполнения, использования производительности и нагрузки на приложение или веб-сайт.

Открывая его, первое, что мы замечаем, - это его основной модуль, сканер: просто введите URL-адрес сайта, который мы хотим проанализировать, и ZAP сообщит обо всех странностях в виде цветных флажков в зависимости от серьезности того, что было найдено.

ZAP Spider анализирует каждый фрагмент кода и каталогизирует то, что он находит, в соответствии с серьезностью и типом уязвимости; каждое предупреждение расширяется и снабжено как кратким объяснением, так и ссылкой, по которой можно найти более подробную информацию (в дополнение к стратегиям по предотвращению выявленной уязвимости).

Очень часто первое, что мы получаем, - это значительный объем информации, большая часть которой совершенно бесполезна для наших целей; это потому, что необходимо потратить некоторое время на правильное профилирование ZAP и его адаптацию к вашим потребностям. Однако советуем углубить знания даже этой информации, которая может показаться бесполезной, поскольку в будущем они могут быть симптомом новой уязвимости.

Как и все инструменты этого типа, только практика и знания могут увеличить их потенциал для использования.

Сканирование активно

При активном сканировании можно использовать браузер, интегрированный в ZAP, и, как только вы найдете элемент сайта, который мы считаем чувствительным, с помощью правой кнопки мыши вы сможете его проанализировать, что значительно сокращает время и позволяет избежать помещения под контроль всей структуры. стресс.

Это очень удобное решение для тех, кто уже достаточно практичен и хочет проводить целенаправленный поиск, не теряя времени и не загружая свою рабочую станцию ​​каталогизацией бесполезных данных.

Сессии и отчеты

При каждом использовании ZAP спрашивает пользователя, намерен ли он создать активный сеанс анализа, который должен быть проведен, или временный. Различительный фактор в запросе заключается в том, как вы хотите использовать собираемые данные: в активном сеансе все сканы хранятся локально, чтобы их можно было проанализировать более подробно в более позднее время.

Рынок

Как уже упоминалось, ZAP также ориентирован на профессиональный сектор, поэтому его можно настроить, включив или отключив типы атак или используя включенный магазин, где можно приобрести дополнительные модули анализа, созданные и сертифицированные сообществом OWASP. Среди продаваемых модулей многие находятся в пробной версии или даже в стадии бета-тестирования, что позволяет пользователям экспериментировать с новыми типами уязвимостей и впоследствии сообщать о результатах своих оценок сообществу.

Сделать вывод

ZAP является частью большого семейства «PenTesting Tools» (PenTesting Tools) и в основном имитирует злоумышленника, который действительно хочет найти уязвимость и воспользоваться ею: я не думаю, что бесполезно вспоминать о криминальных последствиях, если этот инструмент используется без явного разрешения владельца соответствующего сайта.

ZAP - это лишь один из многих проектов OWASP Foundation, созданных с целью помочь тем, кто разрабатывает или использует веб-приложения и кто часто из-за спешки или неопытности избегает этих мер предосторожности, которые, к сожалению, становятся средствами для злоумышленников.

Для получения дополнительной информации:

https://www.zaproxy.org/

https://www.zaproxy.org/docs/

https://www.zaproxy.org/community/

https://owasp.org/

https://www.difesaonline.it/evidenza/cyber/cyber-defence-programmare-sicurezza-%C3%A8-la-base-di-tutto

https://www.difesaonline.it/evidenza/cyber/injection-broken-authentication-ed-xss-i-principali-rischi-cyber

https://www.difesaonline.it/evidenza/cyber/sicurezza-e-devops-cosa-vuol-dire-shift-left