OWASP ZAP – Zed Attack Proxy

(Di Simon Domini)
17/08/21

Was ich Ihnen jetzt schildern möchte, ist ein Vorfall, der schon vor Jahren oft vorkam, aber mittlerweile glücklicherweise ziemlich selten geworden ist: Wir sind auf einem Webportal, das Filmkritiken sammelt, und wollen nach einem suchen zum Thema „The man who.“ wusste zu viel". Wir suchen die interne Suchmaschine des Portals, geben „Beste Filme des Jahres“ in das dafür vorgesehene Feld ein und klicken auf die Schaltfläche „Suchen“.

Zu diesem Zeitpunkt meldet unser Browser eine seltsame Antwortseite, auf der erkennbare Teile des Portals vorhanden sind, die jedoch schlecht formatiert sind, Teile der Programmiersprache … Was ist passiert?

Wenn wir, anstatt nach einem anderen Filmportal zu suchen, uns mit diesem seltsamen Ereignis befassen, könnten wir mit Hilfe von Google herausfinden, dass die Ursache für diesen schlechten Dienst ein Zeichen war, das in der Zeichenfolge „Der Mann, der zu viel wusste“ enthalten war: das Apostroph.

In einer Programmiersprache kann das Apostroph (oder der hochgestellte Index) eine enorme Bedeutung haben. Wenn das Skript, das die Suche innerhalb des betreffenden Portals verwaltet, diese Möglichkeit nicht berücksichtigt, sind dieses Skript und das von ihm gesteuerte Modul anfällig.

Was bedeutet verwundbar in der Praxis? Dies bedeutet, dass dieses Modul zum Einfügen von Schadcode verwendet werden kann, der die Funktionalität des Portals beeinträchtigen oder, schlimmer noch, alle Daten der anderen darin registrierten Benutzer preisgeben könnte.

Heutzutage gibt es viele Tools, die versuchen, das oben beschriebene Ereignis zu wiederholen. Meist genügt die Angabe der Adresse der zu analysierenden Website: Das Tool navigiert durch die Seiten der Website auf der Suche nach einem anzugreifenden Modul und versucht, wenn es eines findet, Teile des Codes einzufügen. Wenn eine bekannte Antwort eingeht, markieren Sie diese Seite als „anfällig“. Leider handelt es sich bei der Beispiel-Schwachstelle jedoch um eine der klassischsten Schwachstellen; es gibt tausende andere, und jeden Tag kommen neue hinzu. Ebenso sind selbst die Tools, die zum Auffinden dieser Schwachstellen verwendet werden, an einem Tag funktionsfähig und am nächsten Tag nutzlos, weil sie veraltet sind.

So? Glücklicherweise gibt es kostenlose Tools wie OWASP ZAP (Zed Attack Proxy), ein Tool, das nach den Prinzipien der OWASP Foundation (Open Web Application Security Project) entwickelt wurde, um jedem die Möglichkeit zu bieten, seine Anwendungen und Websites zu analysieren. um sie sicherer zu machen.

ZAP ist ein Werkzeug, das für jedermann zugänglich ist, vom unerfahrensten Benutzer bis zum Branchenprofi; Es ist Open Source, enthält die meisten noch vorhandenen Schwachstellen und wird von einer engagierten Community ständig aktualisiert.

Installation

Wie bereits erwähnt, ist ZAP Open-Source, daher kann es unter diesem Link kostenlos heruntergeladen werden (https://www.zaproxy.org/download/); Die einzige Voraussetzung dafür ist das Vorhandensein von Java 8+, mit dem alle seine Module ausgeführt werden können. Eine seiner Besonderheiten besteht gerade darin, dass es für viele Arten von Plattformen und Betriebssystemen verfügbar ist und sogar eine Version verfügbar ist, die auf Raspberry verwendet werden kann.

Nach dem Herunterladen ist der Installationsvorgang wirklich einfach und intuitiv.

Betrieb

ZAP ist in erster Linie ein Proxy, der tatsächlich alle Daten der von uns analysierten Website speichert und sie verarbeitet, indem er sie an das Schwachstellenarchiv übermittelt, über das er verfügt. Aus diesem Grund verfügt ZAP über zwei Analysemodi: Der Standardmodus ist der Scan, den wir als „leicht“ bezeichnen können. Bei Bedarf ist es jedoch möglich, die Brutalität des Angriffs zu erhöhen, um eine tiefergehende Analyse durchzuführen. Dieser letztere Modus führt natürlich zu einer Erhöhung der Ausführungszeit, der Leistungsauslastung und der Belastung der Anwendung oder Website.

Als wir es öffnen, fällt uns als Erstes das Hauptmodul auf, der Scanner: Es reicht aus, die URL der Website einzugeben, die wir analysieren möchten, und ZAP meldet alle Auffälligkeiten in Form von farbigen Markierungen, basierend auf der Schwere des Problems wurde gefunden.

Der ZAP Spider analysiert jeden Code und katalogisiert die gefundenen Daten nach Schweregrad und Art der Schwachstelle. Jede Warnung ist erweiterbar und enthält sowohl eine kurze Erklärung als auch Links, über die Sie detailliertere Informationen (sowie Strategien zur Vermeidung der identifizierten Schwachstelle) finden können.

Sehr oft erhalten wir als Erstes eine beträchtliche Menge an Informationen, von denen viele für unsere Zwecke völlig nutzlos sind. Dies liegt daran, dass es notwendig ist, einige Zeit mit der korrekten Profilierung von ZAP und der Anpassung an Ihre Bedürfnisse zu verschwenden. Wir empfehlen Ihnen jedoch, auch Ihre Kenntnisse über diese Informationen zu vertiefen, die möglicherweise nutzlos erscheinen, da sie in Zukunft ein Symptom für eine neue Sicherheitslücke sein könnten.

Wie bei allen Werkzeugen dieser Art können nur Übung und Wissen ihre Einsatzmöglichkeiten erweitern.

Der Scan ist aktiv

Beim aktiven Scannen ist es möglich, den in ZAP integrierten Browser zu verwenden. Sobald ein von uns als sensibel erachtetes Element der Website gefunden wurde, ist es mit der rechten Maustaste möglich, es analysieren zu lassen, was den Zeitaufwand erheblich verkürzt und das Löschen des gesamten Inhalts erspart Struktur unter Stress.

Dies ist eine sehr praktische Lösung für diejenigen, die bereits ziemlich praktisch sind und gezielte Suchen durchführen möchten, ohne Zeit zu verschwenden und ohne ihren Arbeitsplatz mit der Katalogisierung nutzloser Daten zu belasten.

Sitzungen und Berichte

Bei jeder Nutzung fragt ZAP den Benutzer, ob er beabsichtigt, eine aktive oder eine temporäre Sitzung der Analyse, die er durchführen möchte, zu erstellen. Der entscheidende Faktor bei der Anfrage liegt in der gewünschten Verwendung der erfassten Daten: In einer aktiven Sitzung werden alle Scans lokal gespeichert, um möglicherweise zu einem späteren Zeitpunkt detaillierter analysiert zu werden.

Der Markt

Wie bereits erwähnt, richtet sich ZAP auch an den professionellen Bereich, so dass es möglich ist, es anzupassen, indem man Angriffsarten aktiviert oder deaktiviert oder den mitgelieferten Store nutzt, wo man zusätzliche Analysemodule erwerben kann, die von der OWASP-Community erstellt und zertifiziert wurden. Unter den angebotenen Modulen gibt es viele in Testversionen oder sogar in Betatestversionen, damit Benutzer mit neuen Arten von Schwachstellen experimentieren und die Ergebnisse ihrer Bewertungen anschließend der Community mitteilen können.

Zum Abschluss

ZAP gehört zur großen Familie der „PenTesting Tools“ (Penetrationstests) und simuliert im Grunde einen Angreifer, der wirklich eine Schwachstelle finden und ausnutzen möchte: Ich glaube nicht, dass es sinnlos ist, sich an die kriminellen Konsequenzen dieses Tools zu erinnern wurden ohne ausdrückliche Genehmigung des Eigentümers der betreffenden Website verwendet.

ZAP ist nur eines der vielen Projekte der OWASP Foundation, die mit der Absicht ins Leben gerufen wurden, denjenigen zu helfen, die Webanwendungen entwickeln oder verwenden und oft, sei es aus Eile oder Unerfahrenheit, diese Vorsichtsmaßnahmen umgehen, die leider zu einer Erleichterung für Bösewichte werden.

Um mehr zu erfahren:

https://www.zaproxy.org/

https://www.zaproxy.org/docs/

https://www.zaproxy.org/community/

https://owasp.org/

https://www.difesaonline.it/evidenza/cyber/cyber-defence-programmare-sicurezza-%C3%A8-la-base-di-tutto

https://www.difesaonline.it/evidenza/cyber/injection-broken-authentication-ed-xss-i-principali-rischi-cyber

https://www.difesaonline.it/evidenza/cyber/sicurezza-e-devops-cosa-vuol-dire-shift-left