Pārbaudiet vietnes ievainojamību, izmantojot ZAP

Satura rādītājs
ZAP (Zed Attack starpniekserveris) ir iespiešanās pārbaudes rīks vietņu testēšanai. Tas ir skeneris, kas ļauj veikt automātiskus tīmekļa drošības testus. Šajā apmācībā mēs uzzināsim, kā izmantot drošības pārbaudi, veicot automatizētus uzbrukumus.
Tas ir paredzēts lietošanai iesācējiem drošības jomā vai ekspertiem ar plašām zināšanām par drošību. Tā ir ļoti svarīga programmatūra izstrādātājiem un serveru administratoriem, kuri vēlas veikt funkcionālās drošības iespiešanās testus.
Daži uzņēmumi, kas izmanto un sadarbojas ar ZAP, ir: OWASP, Mozilla, Google, Microsoft un citi.
Zap var lejupielādēt no OWASP Zed Attack Proxy Project oficiālās lapas, ir versijas dažādām vietējām platformām vai daudzplatformu Java.

Šajā gadījumā, lai to palaistu, mums būs jāinstalē Cross platformas vai daudzplatformu versija, kurā ir visas Java programmētās versijas JRE 7 (Java izpildlaika vide) vai augstāk.
Pēc lejupielādes mēs izpakojam failu un palaižam to tāpat kā jebkuru Java programmatūru, šajā gadījumā mēs izmantojam Linux.
No jebkuras operētājsistēmas mēs varam izpildīt no tiešas piekļuves vai no termināļa ar komandu
 java -jar zap -2.4.2.jar

Mēs pieņemam noteikumus un nosacījumus, kas parādīti startējot, un dodamies uz programmatūras galveno ekrānu.

Mēs veiksim drošības pārbaudi, jūs varat izmantot tīmekļa domēnu vai IP, šajā gadījumā mēs izmantosim ip 67.222.16.108.
Mēs pievienojam tekstlodziņu URL uzbrukumam un pēc tam noklikšķiniet uz pogas Uzbrukums. Pēc visu tīmeklī atrasto lapu skenēšanas mēs iegūsim rezultātu.

Mēs redzam, ka tika konstatētas dažas ievainojamības, piemēram:
X-Frame, kas ir ievainojamība, kas ļauj iframe attēlot pilnu vietni un tādējādi likt kādam domāt, ka viņš pārlūko vietni, kad viņam ir ietverta cita vietne. Pieņemsim, ka mēs izveidojam vietni, mēs iekļaujam Facebook vienā iframe un Paypal veidlapu citā, imitējot, ka Facebook iekasē maksu par reģistrāciju, tāpēc ar jebkuru vietni maksājums faktiski tiktu uzbrucējam.

Šo uzbrukuma veidu sauc klikšķu uzlaušana un to var novērst, piemēram, izmantojot Javascript, ievietojot šo kodu tīmekļa tagos.
 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }
Vēl viena šajā IP konstatētā ievainojamība ir tā, ka tai nav XSS aizsardzības, to var ieviest atkarībā no mūsu izmantotās programmēšanas valodas.
Izvairīties XSS uzbrukumi jebkurā tīmekļa lietojumprogrammā ir viegli izmantot daudzas bibliotēkas.
Šī metode ietver lietotāju ievadīto datu pārbaudi vai no jebkura ārēja datu avota vai jebkura parametra, ko nosūtīja URL.
Šīs rūpes ir vienīgās, kas mums jāņem vērā, lai novērstu XSS uzbrukumi un palielināt drošību, kas novērš XSS uzbrukumus, tāpēc mums ir jāveic datu validācija, jākontrolē lietojumprogrammas saņemtie dati un jānovērš bīstama koda izmantošana vai izpilde, ievadot datus.
Funkcijas strip_tag () piemērs php
Šī funkcija noņem visas html rakstzīmes, kas satur mainīgo $ description, izņemot tās atļautās, kā tas ir šajā gadījumā

punktu un treknrakstā

 $ description = strip_tags ($ _ POST [apraksts], '

,’);

Tagad, kad esam veikuši pirmo analīzi, mēs sāksim izmantot dažādus rīkus un spraudņus, lai veiktu Fuzzing, to sauc par Fuzzing, lai izmantotu dažādas testēšanas metodes, kas masveidā un secīgi nosūta datus uz lietojumprogrammu, lai mēģinātu atklāt ievainojamības tīmeklī vai mūsu analizētajā programmatūrā.
Piemēram, mēs izmantojam jebkuru vietni, kas ir šāda veida potenciāli neaizsargāta
http: //www.dominio/i… rdetalle & id = 105
Citā SQLMAP apmācībā, SQL ievadīšanas rīkā un ētiskās datu bāzes uzlaušanā viņš paskaidroja, ka vienkāršs veids, kā atrast analizējamu vietni, ir ievietot section.php? Id = Google meklētājprogrammā, un mēs redzēsim tūkstošiem vietņu, kas varētu būt neaizsargātas . Šeit jums tas ir, ja jūs interesē:

SQL injekcijas rīks

Mēs analizējam vietni un skatām neaizsargāto lapu sarakstu.

Tad mēs ņemam vienu no lapām, šajā gadījumā index.php, kurai ir divi mainīgie id un sadaļa, pēc tam ar peles labo pogu noklikšķiniet uz šīs lapas.

Mēs ejam uz izvēlni Uzbrukums un izvēlamies Fuzz, atveras Fuzzer logs, un mēs noklikšķinām uz tukšā tekstlodziņa, tas aktivizēs pogu Pievienot, kas ļaus mums pievienot konkrētu uzbrukuma veidu.

Tālāk mēs redzēsim ekrānu Payloads. Funkcijas vai izmantošana, ko programmatūra nodrošina, lai pārbaudītu un meklētu ievainojamības un radītu kļūdas tīmeklī, kuras mēs pārbaudām, tiek sauktas par kravu. Šajā ekrānā mēs noklikšķinām uz Pievienot, lai pievienotu kravu.
Šeit mēs varam izvēlēties veicamā uzbrukuma veidu, atlasīt faila fuzzer veidu un izvēlēties lietderīgās slodzes injekciju, kas aptver xss uzbrukumus, cita starpā SQL injekcijas uzbrukumu un SQL injekciju, kas aptver visus SQL uzbrukumus. Mēs varam pievienot un pārbaudīt daudz dažādu veidu uzbrukumus no saraksta, ko mums piedāvā Zap.

Pēc tam mēs noklikšķiniet uz pievienot, pēc tam uz Piekrist un noklikšķiniet uz pogas Sākt izplūdes signālu, lai sāktu auditu.

Skenēšanas rezultātā ar Kravnesības injekcija Y SQL injekcija, mēs atklājām, ka tīmeklis ir neaizsargāts pret XSS uzbrukumiem un tam ir vismaz trīs trūkumi, saskaroties ar augsta riska SQL injekcijām, un tas norāda, kurās lapās ir problēma.
Vēl viena analīze, ko mēs varam veikt, ir Web servera lietderīgās slodzes izvēle, šajā gadījumā mēs redzēsim, ka mums ir problēmas ar sesijām un sīkfailiem, jo ​​tos var nolasīt no mūsu izmantotās pārlūkprogrammas.

PALIELINĀT

Vēl viena iespēja ir simulēt satiksme 10 000 gandrīz vienlaicīgu lietotāju, kuri pārvietosies pa visām mūsu vietnē pieejamajām saitēm, ģenerējot pieprasījumus, lai noskaidrotu, vai vietne nav piesātināta un vai tā nedarbojas.
Piemēram, mēs pievienosim lietderīgo slodzi, mēs izvēlamies domēnu vai galveno lapu ar labo pogu, un mēs dodamies uz Uzbrukums> Izplūdums, pēc tam noklikšķiniet uz Pievienot, pēc tam uz slodzes ekrāna noklikšķiniet uz Pievienot, mēs izvēlamies Failu izplūdes tipa un jbrofuzz ​​mēs izvēlējāmies Zero Fuzzers.

Pēc lietderīgās slodzes izpildes mēs redzēsim datplūsmu uz mūsu lapām, bet mēs redzēsim arī datplūsmu uz tām tīmekļa lapām, kuras esam saistījuši.

Šīs vietnes gadījumā mēs varam redzēt datplūsmu, kas radīta Facebook, twitter, linkedin, google plus, cita starpā, kas noteikti veido šīs vietnes sociālo mediju stratēģiju. Ja mums ir Google Analytics vai Google Searh Console (agrāk Webmastertools) Tas arī radīs trafiku, tāpēc nav labi pārsniegt šos testus, vai arī labāk to darīt lokāli, atspējojot Google Analytics.

Internets un tīmekļa lietojumprogrammas katru dienu palielina lietotāju skaitu, tāpēc pieprasījums pēc informācijas drošības ekspertiem un revidentiem uzņēmumos ir ļoti svarīgs.
Šie testi nav pārliecinoši, tie ir tikai brīdinājums, lai mēs varētu padziļināt izmeklēšanu. Šīs uzbrukumu simulācijas un automātiskā skenēšana var nodrošināt ātru risinājumu vietņu revīzijai.
Ir svarīgi, lai šie rīki tiktu izmantoti saudzīgi un ētiski, jo tos izmanto tīmekļa pārziņi, kā arī tie, kas pārvalda serverus un ļaunprātīgus hakerus. OWASP ZAP ir rīks, ko plaši izmanto tie, kas veic ētisku uzlaušanu, lai strādātu pie tīmekļa drošības audita un testēšanas lietojumprogrammām.
Lai iegūtu vairāk informācijas par IT drošību, izmantojot citas metodes, uzbrukumus, uzlaušanu utt. sekojiet līdzi jaunumiem un dalieties savās zināšanās šeit:

Datoru drošības apmācības

Vai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu
wave wave wave wave wave