SpareNet Servers Advertising & Link Exchange IranHack Telegram

اطلاعیه

بستن
هیچ اطلاعیه ای هنوز ایجاد نشده است .

آشنایی و آموزش برنامه ZAP یا Zed Attack Proxy

بستن
X
  • فیلتر
  • زمان
  • نمایش
پاک کردن همه
نوشته‌های جدید

  • آشنایی و آموزش برنامه ZAP یا Zed Attack Proxy

    آشنایی و آموزش برنامه ZAP یا Zed Attack Proxy

    Zed Attack Proxy یا به اختصار ZAP یکی از بهترین ابزار­های امنیتی رایگان برای انجام تست نفوذ است که توسط تیم OWASP توسعه داده شده است.
    این ابزار آسیب ­پذیری های برنامه های وب را به صورت خودکار کشف می کند. آخرین نسخه آن در تاریخ 2017-11-28 انتشار یافته است و از این لینک قابل دسترسی است.
    ابزار دارای نسخه های مخصوص ویندوز،لینوکس و مکینتاش است.
    آموزش برنامه ZAP



    ZAP در کنار تست خودکار این امکان را به کاربر می­دهد تا با ترکیب تست دستی و خودکار بهترین نتایج را در تست نفوذ بدست آورد.

    اسکنر ZAP به دلیل قابلیت هایی مانند پشتیبانی از گواهینامه های پویا SSL، پشتیبانی از کارت های هوشمند، قابلیت استفاده از API و استفاده از پلاگین های ترکیبی روند رو به رشد بسیار سریعی در پیش گرفته است.
    از ویژگی های مهم ZAP می­توان به متن باز بودن، نصب آسان، صفحات جامع آموزش و کمک و ترجمه به بیش از 20 زبان اشاره نمود.(برنامه از زبان فارسی نیز پشتیبانی می کند)


    در پست های بعدی به شرح امکانات مهم ابزار و نحوه انجام اسکن امنیتی خواهیم پرداخت./

  • #2
    امکانات کلی ابزار به شرح زیر است :
    • Active Scan: برای کشف آسیب پذیری ها به صورت خودکار از این قابلیت نرم افزار بهره برداری می­شود. این نوع اسکن تنها قابلیت کشف تعداد محدودی از آسیب پذیری­ها را دارا می­باشد، به منظور بازدهی بهتر باید از اسکن دستی نیز استفاده نمود.
    • : تیم توسعه ابزار در کنار ارائه یک هسته قدرتمند اقدام به ساخت افزودنی برای افزایش قدرت ابزار نموده است. افزودنی ها می توانند ویژگی های قدرتمندی به ابزار اضافه نمایند. لیست افزودنی های ZAP از این لینک قابل دسترس است و به تازگی قابلیت نصب آنلاین نیز به آن اضافه شده است.
    Alert: آسیب پذیری و خطاهای کشف شده از ابزار به 5 دسته بندی ریسک بالا، متوسط، کم، اطلاعات و اطلاعات کاذب تقسیم بندی می­شوند. در بخش Alerts در پایین ابزار می توان لیست کامل هشدار ها با اطلاعات تکمیلی مربوطه را مشاهده کرد.
    برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: alerts.png
مشاهده: 41
حجم: 7.9 کیلو بایت
    • Anti CSRF Tokens: در بسیاری از برنامه های تحت وب برای جلوگیری از رخ دادن آسیب پذیری CSRF یا جعل سند، از token استفاده می گردد، ZAP این امکان را فراهم نموده است که به فرم ها را برای گزینش token بررسی نموده و برای اسکن استفاده کند.
    • : برای استفاده از زبان و فرمت های برنامه نویسی مانند XML و JSON امکان استفاده از API در نرم افزار ZAP فراهم شده است.
    • : در صورتی که هدف مورد نظر برای باز شدن نیاز به احراز هویت داشته باشد می­توان از بخش مربوطه در اسکنر استفاده کرد. ابزار از مدل­های احراز هویت دستی، مبتنی بر فرم، HTTP/NTLM و احراز هویت بر اساس اسکریپت پشتیبانی می­کند..
    • : این قابلیت به شما اجازه می­دهد درخواست­های وب ارسالی و دریافتی را در مرورگر ابزار کنترل نموده و بر اساس نیاز های خود تغییر دهید یا اقدام به دور زدن محدودیت های سمت کلاینت نمایید.
    • : برای جدا کردن نتایج خاص از نتایج پاسخ­ها می توان از فیلتر ها کمک گرفت. این امکان در حالت عادی فعال نمی باشد و باید به صورت دستی فعال گردد.
    برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: iran.png
مشاهده: 41
حجم: 145.7 کیلو بایت
    • Globally Excluded URLs: به منظور معرفی آدرس یا عبارات خاص برای نادیده گرفته شدن توسط ابزار باید می توان از این امکان استفاده کرد. همچنین قابل ذکر است که امکان فوق در تمامی بخش های ابزار مانند پروکسی، اسکنر و غیره قابل اعمال است.
    • HTTP Sessions: وظیفه نگه­داری جلسات (sessions) HTTP موجود در یک سایت برای کنترل و تغییر توسط کاربر بدون از بین بردن آن­ها به عهده این بخش است.
    • Intercepting Proxy: با استفاده از این ابزار ZAP به کاربر اجازه می دهد تمام درخواست های برنامه وب را مشاهده و دریافت نماید.

    ZAP دارای 4 حالت مختلف است که چگونگی رفتار برنامه را تنظیم میکند:
    • حالت امن : در این حالت ابزار هیچگونه عملیات خطرناکی که ممکن است به سایت ضربه وارد کند را اجرا نمی کند.
    • حالت حفاظت شده : برنامه تنها به دستور کاربر بر روی آدرس های خاص عملیات خطرناک انجام می دهد.
    • حالت استاندارد: برنامه مجوز انجام هرکاری را خواهد داشت
    • حالت حمله : با ترکیب تست دستی و تست اتوماتیک به دنبال بهترین نتیجه خواهد بود.(این حالت ممکن است اطلاعات سایت را تخریب نماید).
    برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: scan.png
مشاهده: 41
حجم: 8.4 کیلو بایت
    فایل های پیوست شده

    نظر


    • #3
      در ادامه به بررسی مابقی امکانات برنامه میپردازیم :
      • Passive scan: برنامه در حالت عادی درخواست ها را بر روی بستر HTTP به سمت هدف ارسال می­نماید که ممکن است باعث کشف نرم افزار یا حمله کننده شود. در صورت استفاده از حالت اسکن منفعل(Passive scan) برنامه با تغییر رفتار اسکنر باعث می شود درصد اکتشاف به کمترین حالت ممکن برسد.
      • Scan Policy: در این بخش کاربر می­تواند سیاست های اسکن را مطابق آنچه که نیاز دارد تغییر دهد. کاهش و افزایش تعداد درخواست ها و چگونگی اجرای اسکن می تواند در نتایج دریافتی تاثیر گذار باشد.
      • : در بخش scope آدرس هایی که باید توسط برنامه تست شود تعریف می شوند. به طور پیشفرض این بخش روی تمامی آدرس ها تنظیم شده است.
      • Session Management: نرم افزار قابلیت نگهداری و مدیریت همزمان چند نشست HTTP در هنگام اسکن را دارد. دو نوع متفاوت از مدیریت نشست ها در برنامه گنجانده شده است که شامل : مدیریت نشست بر اساس کوکی و مدیریت بر اساس احراز هویت HTTP می باشند.
      • : وظیفه Spider کشف خودکار منابع آدرس­ها (URL) در هدف می­باشد. پس از شروع اسکن مرحله اول کار به spider تعلق دارد که با بررسی تمام صفحات سایت لینک ها را پیدا کرده و برای مراحل بعد در یک لیست ذخیره می­کند. این ابزار از دو روش GET و پست پشتیبانی میکند.
      مراحل اسکن
      به منظور شروع اسکن هدف مورد نظر، ابتدا Mode مورد نظر را که در بالا توضیح داده شد تنظیم میکنیم.
      سپس در بخش Quick Start آدرس هدف را وارد نموده و روی Attack کلیک میکنیم.

      در هنگام اسکن آدرس های یافت شده از هدف در بخش Spider نمایش داده میشود. آسیب پذیری های کشف شده نیز در بخش Alert درج می­شود.
      با کلیک بر روی هر آسیب پذیری مشخصات و توضیحات تکمیلی آن نمایشد داده میشود. این اطلاعات را کاربر می تواند ویرایش نموده و مطابق نیاز بروزرسانی کند.


      برای استفاده از ابزار های ترکیبی مانند احراز هویت یا پروکسی نیز میتوان بر روی علامت مثبت کنار تب سایت کلیک کرد تا لیست برای شما نمایان شود.
      پس از اتمام اسکن برای دریافت گزارش نهایی می توان به منو Report مراجعه کرد.

      گزارش را می توان در سه قالب HTML، XML و md دریافت نمود.
      قابلیت جداسازی آدرس های URL و مقایسه با دیگر گزارش ها نیز از امکانات جالب zap است.

      نظر

      صبر کنید ..
      X