OWASP ZAP - Zed-Angriffsproxy

(Di Simone Domini)
17/08/21

Was ich Ihnen gleich beschreiben möchte, ist ein Ereignis, das vor Jahren oft passiert ist, aber jetzt glücklicherweise ziemlich selten geworden ist: Wir sind auf einem Webportal, das Filmkritiken sammelt, und wir wollen nach einem zu "Der Mann, der wusste" suchen Zu viel". Wir identifizieren die interne Suchmaschine des Portals, fügen "Beste Filme des Jahres" in das verfügbare Feld ein und klicken auf die Schaltfläche "Suchen".

An dieser Stelle meldet unser Browser eine seltsame Antwortseite, auf der Teile des Portals erkennbar sind, aber schlecht formatiert sind, Teile der Programmiersprache ... Was ist passiert?

Wenn wir, anstatt nach einem anderen Filmportal zu suchen, bei diesem seltsamen Ereignis verweilen, könnten wir mit Hilfe von Google herausfinden, dass ein Zeichen in der Zeichenfolge "Der Mann, der zu viel wusste" enthalten war, um diesen schlechten Dienst zu verursachen: der Apostroph.

In einer Programmiersprache kann das Apostroph (oder Hochgestellt) eine enorme Bedeutung haben, und wenn das Skript, das die Suche innerhalb des betreffenden Portals verwaltet, diese Möglichkeit nicht berücksichtigt, dann sind dieses Skript und das von ihm verwaltete Modul anfällig.

Was bedeutet verletzlich in der Praxis? Dies bedeutet, dass dieses Modul verwendet werden kann, um bösartigen Code einzufügen, der die Funktionalität des Portals beeinträchtigen oder, noch schlimmer, alle Daten anderer darin registrierter Benutzer preisgeben könnte.

Heutzutage gibt es viele Tools, die versuchen, das oben beschriebene Ereignis zu wiederholen. In der Regel reicht es aus, die Adresse der zu analysierenden Website anzugeben: Das Tool navigiert durch die Seiten der Website auf der Suche nach einem anzuhängenden Modul und versucht, wenn es es findet, Teile des Codes einzufügen. Wenn es eine bekannte Antwort erhält, markiert es diese Seite als "angreifbar". Leider ist die des Beispiels jedoch eine der klassischsten Schwachstellen; Es gibt Tausende von anderen und jeden Tag kommen neue dazu. Ebenso sind die Tools, die zum Auffinden dieser Schwachstellen verwendet werden, an einem Tag funktionsfähig und am nächsten Tag nutzlos, da sie veraltet sind.

So? Glücklicherweise gibt es kostenlose Tools wie OWASP ZAP (Zed Attack Proxy), ein Tool, das nach den Prinzipien der OWASP Foundation (Open Web Application Security Project) erstellt wurde, um jedem die Möglichkeit zu bieten, seine Anwendungen und Websites zu analysieren und mehr zu machen sicher.

ZAP ist ein Werkzeug, das für jeden zugänglich ist, vom unerfahrensten Benutzer bis zum Profi in der Branche; Es ist Open Source und enthält die meisten der noch vorhandenen Schwachstellen und wird ständig von einer engagierten Community aktualisiert.

Installation

Wie gesagt, ZAP ist Open-Source, für das es kostenlos unter diesem Link heruntergeladen werden kann (https://www.zaproxy.org/download/); die einzige Voraussetzung, die es erfordert, ist das Vorhandensein von Java 8+, damit alle seine Module funktionieren. Eine seiner Besonderheiten besteht gerade darin, dass es für viele Arten von Plattformen und Betriebssystemen verfügbar ist, und sogar eine Version, die auf Raspberry verwendet werden kann, ist verfügbar.

Nach dem Herunterladen ist der Installationsvorgang wirklich einfach und intuitiv.

Betrieb

ZAP Es ist hauptsächlich ein Proxy und speichert tatsächlich alle Daten, die von der von uns analysierten Site stammen, und verarbeitet sie, indem sie an das Archiv der vorhandenen Schwachstellen gesendet werden. Dafür hat ZAP zwei Analysemodi: Der Standard ist der Scan, den wir "light" nennen können, aber wenn Sie möchten, können Sie die Brutalität des Angriffs erhöhen, um eine eingehendere Analyse durchzuführen. Dieser letzte Modus bedeutet natürlich eine Erhöhung der Ausführungszeit, der Leistungsnutzung und der Belastung der Anwendung oder Website.

Beim Öffnen fällt uns als erstes das Hauptmodul auf, der Scanner: Geben Sie einfach die URL der Site ein, die wir analysieren möchten, und ZAP meldet alle Merkwürdigkeiten in Form von farbigen Flags basierend auf der Schwere des Gefundenen.

Der ZAP Spider analysiert jeden Code und katalogisiert die gefundenen Daten nach Schweregrad und Art der Schwachstelle. Jede Warnung ist erweiterbar und mit einer kurzen Erklärung sowie einem Link ausgestattet, über den Sie (neben den Strategien zur Vermeidung der identifizierten Schwachstelle) weiterführende Informationen finden können.

Sehr oft erhalten wir als erstes eine beträchtliche Menge an Informationen, von denen viele für unseren Zweck völlig nutzlos sind; Dies liegt daran, dass Sie einige Zeit damit verschwenden müssen, ZAP korrekt zu profilieren und an Ihre Bedürfnisse anzupassen. Es wird jedoch empfohlen, das Wissen auch über diese möglicherweise nutzlos erscheinenden Informationen zu vertiefen, da sie in Zukunft ein Symptom für eine neue Sicherheitslücke sein könnten.

Wie alle Werkzeuge dieser Art können nur Übung und Wissen ihr Einsatzpotenzial steigern.

Der Scan ist aktiv

Mit aktivem Scannen ist es möglich, den in ZAP integrierten Browser zu verwenden und wenn Sie ein Element der Site gefunden haben, das wir als sensibel erachten, können Sie es mit der rechten Maustaste analysieren lassen, was den Zeitaufwand erheblich reduziert und das Unterlegen der gesamten Struktur vermeidet Stress. .

Dies ist eine sehr komfortable Lösung für diejenigen, die bereits ziemlich praktisch sind und gezielt suchen möchten, ohne Zeit zu verschwenden und ohne ihren Arbeitsplatz durch das Katalogisieren nutzloser Daten zu binden.

Sitzungen und Berichte

Bei jeder Verwendung fragt ZAP den Benutzer, ob er beabsichtigt, eine aktive Sitzung der durchzuführenden Analyse oder eine temporäre zu erstellen. Der entscheidende Faktor bei der Anfrage liegt in der Verwendung der gesammelten Daten: In einer aktiven Sitzung werden alle Scans lokal gespeichert, um sie später genauer analysieren zu können.

Der Markt

Wie bereits erwähnt, ist ZAP auch auf den professionellen Bereich ausgerichtet, sodass es möglich ist, es anzupassen, indem Angriffsarten aktiviert oder deaktiviert werden oder indem der mitgelieferte Shop verwendet wird, in dem zusätzliche Analysemodule erworben werden können, die von der OWASP-Community erstellt und zertifiziert wurden. Unter den angebotenen Modulen gibt es viele in Testversionen oder sogar in Beta-Tests, damit Benutzer mit neuen Arten von Schwachstellen experimentieren und die Ergebnisse ihrer Bewertungen anschließend an die Community melden können.

Zum Abschluss

ZAP gehört zur großen Familie der "PenTesting Tools" (Penetration Testing) und simuliert im Grunde einen Angreifer, der wirklich eine Schwachstelle finden und ausnutzen will: Ich finde es nicht sinnlos, sich an die kriminellen Konsequenzen zu erinnern, wenn dieses Tool ohne ausdrückliche Genehmigung des Eigentümers der betreffenden Website verwendet wird.

ZAP ist nur eines von vielen Projekten der OWASP Foundation, die mit der Absicht gegründet wurden, denjenigen zu helfen, die Webanwendungen entwickeln oder verwenden und die oft aus Eile oder Unerfahrenheit diese Vorsichtsmaßnahmen vermeiden, die leider zu Einrichtungen für böswillige Personen werden.

Um mehr zu erfahren:

https://www.zaproxy.org/

https://www.zaproxy.org/docs/

https://www.zaproxy.org/community/

https://owasp.org/

https://www.difesaonline.it/evidenza/cyber/cyber-defence-programmare-sicurezza-%C3%A8-la-base-di-tutto

https://www.difesaonline.it/evidenza/cyber/injection-broken-authentication-ed-xss-i-principali-rischi-cyber

https://www.difesaonline.it/evidenza/cyber/sicurezza-e-devops-cosa-vuol-dire-shift-left