OWASP Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновения и нахождения уязвимостей в веб-приложениях.
Он создан для использования людьми с различным опытом в сфере безопасности, и поэтому идеален для разработчиков и функциональных тестеров, которые новички в тестировании на проникновении. Но эта программа не окажется бесполезной и для опытных пентестеров — она найдёт своё место и в их наборе инструментов.
Некоторые из функций ZAP:
- Перехват прокси
- Традиционный и AJAX пауки
- Автоматизированный сканер
- Пассивный сканер
- Принудительный просмотр
- Фаззлер
- Динамические SSL сертификаты
- Поддержрка смарткарт и клиентских цифровых сертификатов (Smartcard и Client Digital Certificates)
- Поддержка веб-сокетов
- Поддержка аутентификаций и сессий
- Мощный REST на основе API
- Поддержка большого количества скриптовых языков
- Опция автоматического обновления
- Интегрированный дополнения и растущий маркет обновлений
Некоторые из особенностей ZAP:
- Открытый исходный код
- Кросс-платформенная
- Простая в установке (требуется Java 1.7)
- Совершенно бесплатная (нет платы за ‘Pro’ версию)
- Приоритетом является простота в использовании
- Всесторонняя справка
- Полностью интернационализована
- Переведена на десятки языков
- Основана на сообществе с привлечением активного поощрения
- Активно развивается международной командой добровольцев
Инструкция по спользованию ZAProxy
Всё довольно просто. Для запуска программы введите в терминал
zaproxy
Откроется графический интерфейс. Введите адрес сайта и нажмите кнопку «Атака».
После этого паук начнёт строить дерево страниц сайта, а сканер проводить различные тесты с найденными страницами. При появлении уязвимостей, будут появляться цифры рядом с флажками: красные означают крайне серьёзные уязвимости (вроде SQL-инъекций и XSS). В дереве страниц сайта уязвимые страницы также будут помечены.
Для просмотра всех найденных уязвимостей и замечаний по безопасности, перейдите во вкладку "Оповещения":
Сегодняшняя инструкция довольно короткая — дополнительные опции вы можете посмотреть самостоятельно, думаю, много вопросов они не вызовут.
Поделиться "ZAProxy: тестирование на проникновение веб-приложений"
- Лучшие хакерские программы (100%)
- Поиск админок сайтов с Kali Linux (100%)
- THC-Hydra: очень быстрый взломщик сетевого входа в систему (часть первая) (100%)
- Брутфорсинг веб-сайтов с Hydra (часть вторая инструкции по Hydra) (100%)
- Dojo — лаборатория для тестирования на проникновение (96.1%)
- Новая версия VeraCrypt 1.0f BETA (RANDOM - 50%)