Скенирајте рањивост веб локације помоћу ЗАП -а

Скенирајте рањивост веб локације помоћу ЗАП -а | Сигурност 2025
Скенирајте рањивост веб локације помоћу ЗАП -а | Сигурност 2025
Преглед садржаја
ЗАП (Зед Аттацк Проки) је алат за тестирање пенетрације за тестирање веб локација. То је скенер који омогућава аутоматске тестове веб безбедности. У овом водичу научит ћемо како користити сигурносну провјеру извођењем аутоматских напада.
Дизајниран је тако да га користе почетници у безбедности или стручњаци са великим знањем о безбедности. То је веома важан софтвер за програмере и администраторе сервера који желе да ураде функционалне тестове пенетрације безбедности.
Неке компаније које користе и сарађују са ЗАП -ом су: ОВАСП, Мозилла, Гоогле, Мицрософт и други.
Зап се може преузети са службене странице ОВАСП Зед Аттацк Проки Пројецт, постоје верзије за различите изворне платформе или више платформи у Јави.

У овом случају користићемо Цросс платформу или верзију са више платформи, која садржи све верзије, која је програмирана у Јави, да бисмо је покренули мораћемо да имамо инсталирану ЈРЕ 7 (Јава Рунтиме Енвиронмент) или више.
Након преузимања отпакујемо датотеку и покрећемо је као било који Јава софтвер, у овом случају користимо Линук.
Из било ког оперативног система можемо извршити са директног приступа или са терминала помоћу наредбе 
 јава -јар зап -2.4.2.јар

Прихватамо услове и одредбе приказане при покретању и прелазимо на главни екран софтвера.

Извршићемо сигурносни тест, можете користити домен или ип веба у овом случају ми ћемо користити ип 67.222.16.108.
Додамо ИП у УРЛ поље за текст напада, а затим кликните на дугме Напад. Након скенирања свих страница које се налазе на вебу добит ћемо резултат.

Можемо видети да су откривене неке рањивости, као што су:
Кс-Фраме, која је рањивост која вам омогућава да прикажете комплетну веб локацију у ифраме-у и на тај начин натерате некога да помисли да прегледава веб локацију када заправо има другу која је укључена у ифраме. Претпоставимо да створимо веб локацију, укључимо Фацебоок у један ифраме, а Паипал образац у други, симулирајући да Фацебоок наплаћује регистрацију, па би са било које веб локације уплата заправо ишла нападачу.

Ова врста напада се назива цлицкјацкинг а може се спречити на пример помоћу Јавасцрипта стављањем овог кода у ознаке на вебу. 
 иф (топ! = селф) {топ.онбефореунлоад = фунцтион () {}; топ.лоцатион.реплаце (селф.лоцатион.хреф); }
Још једна рањивост која се налази у овом ИП -у је та што нема КССС заштиту, што се може применити у зависности од програмског језика који користимо.
Избегавајте КССС напади лако је много библиотека користити у било којој веб апликацији.
Метода укључује проверу података које корисници уносе или из било ког спољног извора података или било ког параметра који је послао урл.
Ове бриге су једине које морамо узети у обзир да бисмо их спречили КССС напади и повећати сигурност која спречава КССС нападе, за то морамо извршити валидацију података, контролисати податке које апликација прима и спречити употребу или извршавање опасног кода при уносу података.
Пример функције стрип_таг () у пхп -у
Ова функција уклања сваки хтмл знак који садржи променљиву $ десцриптион, осим оних које овлашћује, као у овом случају

став и масним словима 

 $ десцриптион = стрип_тагс ($ _ ПОСТ [опис], ’

,’);
Сада када смо постигли прву анализу, почет ћемо примјењивати различите алате и додатке за обављање Фуззинга, то се назива Фуззинг за употребу различитих техника тестирања које шаљу податке апликацији на масиван и секвенцијални начин, како бисмо покушали открити рањивости на вебу или у софтверу који анализирамо.
На пример, узимамо било коју веб локацију која је потенцијално рањива тог типа
хттп: //ввв.доминио/и… рдеталле & ид = 105
У другом СКЛМАП водичу, алату за убризгавање СКЛ -а и хаковању етичке базе података, објаснио је да је једноставан начин за проналажење веб локације за анализу постављање сецтион.пхп? Ид = у Гоогле претраживач и видећемо хиљаде веб локација које би могле бити рањиве . Ево га ако сте заинтересовани:

Алат за убризгавање СКЛ -а

Анализирамо веб локацију и видимо листу рањивих страница.

Затим узмемо једну од страница, у овом случају индек.пхп који има две променљиве ид и одељак, па кликните десним тастером миша на ову страницу.

Идемо у мени Аттацк и бирамо Фузз, отвара се прозор Фуззер -а и кликнемо на празно поље за текст, ово ће активирати дугме Адд које ће нам омогућити да додамо одређену врсту напада.

Затим ћемо видети екран корисног терета. Функције или експлоатације које софтвер пружа за тестирање и тражење рањивости и изазивање грешака на вебу које проверавамо називају се Паилоад. На овом екрану кликнемо на Додај да бисмо додали корисни терет.
Овде можемо изабрати врсту напада који ће се извести, изабрати тип миксера датотека и изабрати убризгавање корисног оптерећења које покрива ксс нападе, скл ињекциони напад између осталих и скл ињекцију која покрива све скл нападе. Можемо додати и тестирати много различитих врста напада са листе коју нам нуди Зап.

Затим кликнемо на додај, затим на Прихвати и кликните на дугме Покрени фузер да бисте започели ревизију.

Као резултат скенирања са Ињекција корисног терета И СКЛ Ињецтион, открили смо да је веб рањив на КССС нападе и да има најмање три недостатка када се суочи са високоризичним скл ињекцијама и говори нам на којим страницама је проблем.
Друга анализа коју можемо извршити је одабиром корисног оптерећења веб сервера, у овом случају видећемо да имамо проблем са сесијама и колачићима јер се они могу читати из прегледача који користимо.

ЕНЛАРГЕ

Друга могућност је симулација саобраћаја на 10.000 готово истовремених корисника, који ће се кретати по свим везама доступним на нашој веб страници, генеришући захтеве да виде да ли је веб локација засићена и да ли је ван функције.
На пример, додаћемо корисни терет, десним дугметом бирамо домен или главну страницу и идемо на Аттацк> Фузз, затим кликнемо Адд, затим на екрану Паилоад притиснемо Адд, изаберемо Филе Фуззер типе а у јброфуззу смо изабрали Зеро Фуззерс.

Након извршавања корисног терета видјет ћемо промет на нашим страницама, али ћемо видјети и промет на оним веб страницама које смо повезали.

У случају ове веб странице можемо видети промет генерисан на фацебоок, твиттер, линкедин, гоогле плус, између осталих који засигурно чине стратегију друштвених медија ове веб странице. Ако имамо Гоогле аналитику или Гоогле Сеарх Цонсоле (раније Вебмастертоолс) Такође ће генерисати саобраћај, па није добро прекорачити ове тестове, или је боље да се то уради локално, са онемогућеном Гоогле аналитиком.

Интернет и веб апликације свакодневно повећавају број корисника, па је потражња за стручњацима за сигурност информација и ревизорима у компанијама веома важна.
Ови тестови нису коначни, они су само упозорење како бисмо могли продубити истрагу. Ове симулације напада и аутоматско скенирање могу пружити брзо решење за ревизију веб локација.
Важно је да се ови алати користе с пажњом и у етичке сврхе, јер их користе и вебмастери и они који управљају серверима и злонамерним хакерима. ОВАСП ЗАП је алат који нашироко користе они који се баве етичким хаковањем за свој рад на апликацијама за ревизију и тестирање веб безбедности.
За више информација о ИТ безбедности са другим техникама, нападима, хаковањем итд. будите у току и поделите своје знање овде:

Водичи о рачунарској безбедности

Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен
wave wave wave wave wave

Популар Постс

wave
1
post-title
Надоградите са Виндовс 7, 8, 8.1 на Виндовс 10
2
post-title
Разлика између напредних СЕО техника, стратегија и тактика
3
post-title
Хуавеи П8
4
post-title
▷ Како избрисати колачиће Ксбок Сериес Кс или Ксбок Сериес С - Историја прегледача
5
post-title
Како преузети комплетан Гоогле Цхроме ван мреже

Рецоммендед

wave
- Sponsored Ad -

Избор Уредника

wave
- Sponsored Ad -