BKeaton
01.12.2019, 14:28
OWASP Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновения и нахождения уязвимостей в веб-приложениях.
Он создан для использования людьми с различным опытом в сфере безопасности, и поэтому идеален для разработчиков и функциональных тестеров, которые новички в тестировании на проникновении. Но эта программа не окажется бесполезной и для опытных пентестеров – она найдёт своё место и в их наборе инструментов.
Некоторые из функций ZAP:
Перехват прокси
Традиционный и AJAX пауки
Автоматизированный сканер
Пассивный сканер
Принудительный просмотр
Фаззлер
Динамические SSL сертификаты
Поддержрка смарткарт и клиентских цифровых сертификатов (Smartcard и Client Digital Certificates)
Поддержка веб-сокетов
Поддержка аутентификаций и сессий
Мощный REST на основе API
Поддержка большого количества скриптовых языков
Опция автоматического обновления
Интегрированный дополнения и растущий маркет обновлений
Некоторые из особенностей ZAP:
Открытый исходный код
Кросс-платформенная
Простая в установке (требуется Java 1.7)
Совершенно бесплатная (нет платы за ‘Pro’ версию)
Приоритетом является простота в использовании
Всесторонняя справка
Полностью интернационализована
Переведена на десятки языков
Основана на сообществе с привлечением активного поощрения
Активно развивается международной командой добровольцев
Инструкция по спользованию ZAProxy
Всё довольно просто. Для запуска программы введите в терминал
Код:
zaproxy
Откроется графический интерфейс. Введите адрес сайта и нажмите кнопку «Атака».
https://forum.antichat.xyz/attachments/4862305/1575195809106.png
После этого паук начнёт строить дерево страниц сайта, а сканер проводить различные тесты с найденными страницами. При появлении уязвимостей, будут появляться цифры рядом с флажками: красные означают крайне серьёзные уязвимости (вроде SQL-инъекций и XSS). В дереве страниц сайта уязвимые страницы также будут помечены.
Для просмотра всех найденных уязвимостей и замечаний по безопасности, перейдите во вкладку "Оповещения":
https://forum.antichat.xyz/attachments/4862305/1575195876023.png
Сегодняшняя инструкция довольно короткая — дополнительные опции вы можете посмотреть самостоятельно, думаю, много вопросов они не вызовут.
Он создан для использования людьми с различным опытом в сфере безопасности, и поэтому идеален для разработчиков и функциональных тестеров, которые новички в тестировании на проникновении. Но эта программа не окажется бесполезной и для опытных пентестеров – она найдёт своё место и в их наборе инструментов.
Некоторые из функций ZAP:
Перехват прокси
Традиционный и AJAX пауки
Автоматизированный сканер
Пассивный сканер
Принудительный просмотр
Фаззлер
Динамические SSL сертификаты
Поддержрка смарткарт и клиентских цифровых сертификатов (Smartcard и Client Digital Certificates)
Поддержка веб-сокетов
Поддержка аутентификаций и сессий
Мощный REST на основе API
Поддержка большого количества скриптовых языков
Опция автоматического обновления
Интегрированный дополнения и растущий маркет обновлений
Некоторые из особенностей ZAP:
Открытый исходный код
Кросс-платформенная
Простая в установке (требуется Java 1.7)
Совершенно бесплатная (нет платы за ‘Pro’ версию)
Приоритетом является простота в использовании
Всесторонняя справка
Полностью интернационализована
Переведена на десятки языков
Основана на сообществе с привлечением активного поощрения
Активно развивается международной командой добровольцев
Инструкция по спользованию ZAProxy
Всё довольно просто. Для запуска программы введите в терминал
Код:
zaproxy
Откроется графический интерфейс. Введите адрес сайта и нажмите кнопку «Атака».
https://forum.antichat.xyz/attachments/4862305/1575195809106.png
После этого паук начнёт строить дерево страниц сайта, а сканер проводить различные тесты с найденными страницами. При появлении уязвимостей, будут появляться цифры рядом с флажками: красные означают крайне серьёзные уязвимости (вроде SQL-инъекций и XSS). В дереве страниц сайта уязвимые страницы также будут помечены.
Для просмотра всех найденных уязвимостей и замечаний по безопасности, перейдите во вкладку "Оповещения":
https://forum.antichat.xyz/attachments/4862305/1575195876023.png
Сегодняшняя инструкция довольно короткая — дополнительные опции вы можете посмотреть самостоятельно, думаю, много вопросов они не вызовут.