Nuskaitykite svetainės pažeidžiamumą naudodami ZAP

ZAP („Zed Attack“ tarpinis serveris) yra skverbties testavimo įrankis, skirtas svetainėms tikrinti. Tai skaitytuvas, leidžiantis automatiškai atlikti žiniatinklio saugumo testus. Šioje pamokoje mes sužinosime, kaip naudotis saugumo patikra atliekant automatines atakas.
Jis skirtas naudoti pradedantiesiems saugumo srityje arba ekspertams, turintiems daug žinių apie saugumą. Tai labai svarbi programinė įranga kūrėjams ir serverių administratoriams, norintiems atlikti funkcinio saugumo skverbties testus.
Kai kurios bendrovės, kurios naudoja ir bendradarbiauja su ZAP, yra šios: „OWASP“, „Mozilla“, „Google“, „Microsoft“ ir kt.
„Zap“ galima atsisiųsti iš OWASP „Zed Attack Proxy Project“ oficialaus puslapio, yra įvairių vietinių platformų versijų arba daugialypės terpės „Java“.

Šiuo atveju, norėdami ją paleisti, turėsime įdiegti „Cross Platform“ arba kelių platformų versiją, kurioje yra visos „Java“ programuotos versijos JRE 7 („Java Runtime Environment“) arba aukščiau.
Atsisiuntę išpakuojame failą ir paleidžiame jį kaip bet kurią „Java“ programinę įrangą, šiuo atveju naudojame „Linux“.
Iš bet kurios operacinės sistemos galime vykdyti tiesioginę prieigą arba iš terminalo naudodami komandą

 java -jar zap -2.4.2.jar

Mes sutinkame su sąlygomis, kurios rodomos paleidžiant, ir einame į pagrindinį programinės įrangos ekraną.

Mes ketiname atlikti saugumo testą, galite naudoti žiniatinklio domeną arba IP, tokiu atveju naudosime ip 67.222.16.108.
Mes įtraukiame ip į atakos URL teksto laukelį, tada spustelėkite mygtuką „Ataka“. Nuskaityę visus žiniatinklyje rastus puslapius, gausime rezultatą.

Matome, kad buvo rasta keletas pažeidžiamumų, tokių kaip:
„X-Frame“-tai pažeidžiamumas, leidžiantis rodyti visą svetainę „iframe“ ir taip priversti ką nors galvoti, kad jis naršo svetainę, kai iš tikrųjų į „iframe“ įtraukta kita. Tarkime, kad sukuriame svetainę, į vieną „iframe“ įtraukiame „Facebook“, o į kitą - „Paypal“ formą, imituodami, kad „Facebook“ ima mokestį už registraciją, taigi bet kurioje svetainėje mokėjimas iš tikrųjų atiteks užpuolikui.

Šio tipo ataka vadinama spragtelėjimas ir to galima išvengti, pavyzdžiui, naudojant „Javascript“, įdėjus šį kodą į žiniatinklio žymas.

 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }

Kitas šio IP pažeidžiamumas yra tas, kad jis neturi XSS apsaugos, tai gali būti įgyvendinta priklausomai nuo mūsų naudojamos programavimo kalbos.
Venkite XSS atakos nesunku, bet kurioje žiniatinklio programoje galima naudoti daugybę bibliotekų.
Šis metodas apima duomenų, kuriuos vartotojai įveda arba iš bet kurio išorinio duomenų šaltinio, arba bet kokio parametro, kurį atsiuntė URL, tikrinimą.
Šie rūpesčiai yra vieninteliai, į kuriuos turime atsižvelgti, kad išvengtume XSS atakos ir padidinti saugumą, užkertantį kelią XSS atakoms, tam turime atlikti duomenų patvirtinimą, kontroliuoti programos gaunamus duomenis ir užkirsti kelią pavojingo kodo naudojimui ar vykdymui įvedant duomenis.
Funkcijos strip_tag () pavyzdys php
Ši funkcija pašalina bet kokį html simbolį, kuriame yra kintamasis $ description, išskyrus tuos, kuriuos jis leidžia, kaip šiuo atveju

pastraipa ir paryškintas šriftas

 $ description = strip_tags ($ _ POST [aprašymas], '
,’);

Dabar, kai atlikome pirmąją analizę, pradėsime naudoti įvairius įrankius ir papildinius „Fuzzing“, vadinamą „Fuzzing“, kad būtų naudojami įvairūs bandymo metodai, kurie masiškai ir nuosekliai siunčia duomenis į programą, kad būtų galima aptikti žiniatinklio ar analizuojamos programinės įrangos pažeidžiamumas.
Pavyzdžiui, imame bet kokią svetainę, kuri yra potencialiai pažeidžiama
http://www.dominio/i… rdetalle & id = 105
Kitoje SQLMAP pamokoje, SQL įpurškimo įrankyje ir etinės duomenų bazės įsilaužime jis paaiškino, kad paprastas būdas rasti analizuojamą svetainę yra įdėti skyrių section.php? Id = „Google“ paieškos sistemoje ir pamatysime tūkstančius svetainių, kurios gali būti pažeidžiamos . Čia jį rasite, jei jus domina:

SQL įpurškimo įrankis

Mes analizuojame svetainę ir matome pažeidžiamų puslapių sąrašą.

Tada paimame vieną iš puslapių, šiuo atveju index.php, kuris turi du kintamuosius id ir skyrių, tada dešiniuoju pelės mygtuku spustelėkite šį puslapį.

Mes einame į atakos meniu ir pasirenkame „Fuzz“, atsidaro „Fuzzer“ langas ir spustelėjame tuščią teksto laukelį, tai suaktyvins mygtuką „Pridėti“, kuris leis mums pridėti konkretaus tipo ataką.

Toliau pamatysime „Payloads“ ekraną. Programinės įrangos teikiamos funkcijos ar išnaudojimas, skirtas patikrinti ir ieškoti pažeidžiamumų bei sukelti klaidų žiniatinklyje, kurias mes tikriname, vadinamos „Payload“. Šiame ekrane spustelėkite Pridėti, kad pridėtumėte naudingą krovinį.
Čia mes galime pasirinkti vykdytinos atakos tipą, pasirinkti „File fuzzer“ tipą ir pasirinkti „Payload Injection“, apimantį „xss“ atakas, „SQL“ įpurškimo ataką, be kita ko, ir „SQL“ injekciją, apimančią visas „SQL“ atakas. Galime pridėti ir išbandyti daugybę skirtingų tipų atakų iš sąrašo, kurį mums siūlo „Zap“.

Tada spustelėkite „Pridėti“, tada „Priimti“ ir spustelėkite mygtuką „Pradėti purškiklį“, kad pradėtumėte auditą.

Dėl nuskaitymo naudojant Naudingos apkrovos injekcija Y SQL įpurškimas, mes nustatėme, kad žiniatinklis yra pažeidžiamas XSS atakų ir jis turi mažiausiai tris trūkumus susidūręs su didelės rizikos SQL injekcijomis, ir nurodo, kuriuose puslapiuose yra problema.
Kita analizė, kurią galime atlikti, yra pasirenkant žiniatinklio serverio naudingąją apkrovą, šiuo atveju pamatysime, kad turime problemų dėl seansų ir slapukų, nes juos galima skaityti iš mūsų naudojamos naršyklės.

DIDELIS

Kitas variantas yra imituoti eismas 10 000 beveik vienu metu dirbančių vartotojų, kurie naršys visose mūsų svetainėje esančiose nuorodose, generuodami užklausas, ar svetainė nėra prisotinta ir neveikia.
Pavyzdžiui, mes pridėsime naudingą apkrovą, dešiniuoju mygtuku pasirenkame domeną arba pagrindinį puslapį ir einame į ataką> „Fuzz“, tada spustelėkite „Add“, tada „Payload“ ekrane spustelėkite „Add“ ir pasirenkame „File Fuzzer type“ o „jbrofuzz“ pasirinkome „Zero Fuzzers“.

Atlikę naudingąją apkrovą matysime srautą į mūsų puslapius, bet taip pat matysime srautą į tuos tinklalapius, kuriuos susiejome.

Šios svetainės atveju matome srautą, sugeneruotą į „Facebook“, „Twitter“, „Linkedin“, „Google“ plius, be kita ko, kurie neabejotinai sudaro šios svetainės socialinės žiniasklaidos strategiją. Jei turime „Google Analytics“ arba „Google Searh Console“ (anksčiau žiniatinklio įrankiai) Tai taip pat generuos srautą, todėl nėra gerai viršyti šiuos testus arba geriau tai padaryti vietoje, išjungus „Google Analytics“.

Internetas ir žiniatinklio programos kasdien didina vartotojų skaičių, todėl informacijos saugumo ekspertų ir auditorių paklausa įmonėse yra labai svarbi.
Šie bandymai nėra įtikinami, jie yra tik įspėjimas, kad galėtume gilinti tyrimą. Šios atakos simuliacijos ir automatinis nuskaitymas gali būti greitas sprendimas svetainių auditui.
Svarbu, kad šios priemonės būtų naudojamos atsargiai ir etikos tikslais, nes jas naudoja žiniatinklio valdytojai ir tie, kurie taip pat valdo serverius ir kenkėjiškus įsilaužėlius. „OWASP ZAP“ yra įrankis, kurį plačiai naudoja tie, kurie daro etinį įsilaužimą, dirbdami su žiniatinklio saugumo audito ir testavimo programomis.
Norėdami gauti daugiau informacijos apie IT saugumą naudojant kitus metodus, atakas, įsilaužimus ir pan. Sekite naujienas ir dalinkitės savo žiniomis čia:

Kompiuterio saugumo pamokos

Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką