Zed Attack Proxy: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Tjaanus (talk | contribs)
No edit summary
Mernits (talk | contribs)
 
(7 intermediate revisions by one other user not shown)
Line 1: Line 1:
==Sissejuhatus==
==Sissejuhatus==


Zed Attack Proxy (ZAP). Tegu on kergesti kasutatava veebi rakenduste turvalisuse testimise mõeldud tarkvaraga. Tarkvara on mõeldud turvaspetsialistidele ja ka arendajatele ning testijatele, oma tarkvara turvalisuse testimiseks. See sisaldab automaatseid skaneerimis vahendeid ja ka manuaalseid tööriistu, millega on võimalik turvaauke otsida.  
Zed Attack Proxy (ZAP). Tegu on kergesti kasutatava veebirakenduste turvalisuse testimiseks mõeldud tarkvaraga. Tarkvara on mõeldud turvaspetsialistidele ja ka arendajatele ning testijatele oma tarkvara turvalisuse testimiseks. See sisaldab automaatseid skaneerimisvahendeid ja ka manuaalseid tööriistu, millega on võimalik turvaauke otsida.  


Selles sisalduvad antud funktsionaalsused:
Selles sisalduvad antud funktsionaalsused:
Line 15: Line 15:
*API
*API
*BeanShell integratsioon
*BeanShell integratsioon
Toetatud operatsiooni süsteemid:
*Windows
*Linux
*Mac OS X
Eelduseks on Java olemasolu.
Toetatud on ka erinevad keeled. Programmi paketti uuendatakse iga nädal.


===Funktsionaalsus===
===Funktsionaalsus===
Line 20: Line 29:


*Automaatne skanner - aktiivne skaneerimine proovib leida võimalikke nõrku kohti, kasutades tuntud ründeid valitud sihtmärgi vastu.
*Automaatne skanner - aktiivne skaneerimine proovib leida võimalikke nõrku kohti, kasutades tuntud ründeid valitud sihtmärgi vastu.
Kuna tegu on ründe mehanismiga, siis ei tohiks kasutada seda veebi rakenduste vastu, mida ei omata. Lisaks ei ole aktiivne skaneerimine mõeldud kõikide nõrkuste jaoks. See ei leia näiteks katkist ligipääsu poliitikat. Seetõttu peaks alati kasutama ka manuaalseid tööriistu lisaks automaatsetele.
Kuna tegu on ründemehhanismiga, siis ei tohiks kasutada seda veebirakenduste vastu, mida ei omata. Lisaks ei ole aktiivne skaneerimine mõeldud kõikide nõrkuste jaoks. See ei leia näiteks katkist ligipääsupoliitikat. Seetõttu peaks alati kasutama ka manuaalseid tööriistu lisaks automaatsetele.


*Pasiivne skanner - see uurib kõiki vastuseid mille sai veebi rakenduselt ning ei muuda neid. Seega on turvaline seda kasutada. Skaneerimine toimub taustas, et rakenduse tööd ei aeglustaks.
*Passiivne skanner - see uurib kõiki vastuseid mille sai veebi rakenduselt ning ei muuda neid. Seega on turvaline seda kasutada. Skaneerimine toimub taustas, et rakenduse tööd ei aeglustaks.


*Brute Force skanner - lubab kasutada seda kataloogide ja failide vastu. Kaasa on failide kogum, kus sisalduvad enam levinud kataloogide ja failide nimed. See tööriist proovib otsa ligisaada kataloogidele ja failidele, mitte ei otsi linke nendele.
*Brute Force skanner - lubab kasutada seda kataloogide ja failide vastu. Kaasas on failide kogum, kus sisalduvad enam levinud kataloogide ja failide nimed. See tööriist proovib otse ligi saada kataloogidele ja failidele, mitte otsides nende linke.


*Spider - on vahend, millega on võimalik automaatselt otsida uusi resursse(URL) määratud lehel. See alustab otsingut URLide nimekirjast, käib need läbi ja lisab kõik võimalikud oma nimekirja. Sedasi saab veebi lehte kaardistada.
*Spider - on vahend, millega on võimalik automaatselt otsida uusi resursse(URL) määratud lehel. See alustab otsingut URLide nimekirjast, käib need läbi ja lisab kõik võimalikud oma nimekirja. Sedasi saab veebilehte kaardistada.


*Fuzzer - see on mehhanism, mis saadab valitud sihtmärgile palju puudulikke ja ootamatuid andmeid.
*Fuzzer - see on mehhanism, mis saadab valitud sihtmärgile palju puudulikke ja ootamatuid andmeid.


*Kiipkaardi ja kliendi digitaalsete sertifikaatide tugi - kiipkaardi-põhise autentimise toetus veebirakendustele, mis kasutavad HTTPS (SSL / TLS) ja X.509 kliendi digitaalsertifikaate. Kui määratud veebi rakendus nõuab digitaalse sertifikaadiga autoriseerimist, siis see oskab juhtida kiipkaardi lugejat ja autoriseerida kasutajat nagu ta teeks seda päriselt.
*Kiipkaardi ja kliendi digitaalsete sertifikaatide tugi - kiipkaardi-põhise autentimise toetus veebirakendustele, mis kasutavad HTTPS (SSL / TLS) ja X.509 kliendi digitaalsertifikaate. Kui määratud veebirakendus nõuab digitaalse sertifikaadiga autoriseerimist, siis see oskab juhtida kiipkaardi lugejat ja autoriseerida kasutajat nagu ta teeks seda päriselt.


*Pordiskanner - pakub standardset pordiskannerit, mis näitab millised pordid on sihtmärgil avatud.
*Pordiskanner - pakub standardset pordiskannerit, mis näitab millised pordid on sihtmärgil avatud.


*Dünaamilised SSL sertifikaadid - lubab sul läbipaistvalt lahtikrüpteerida SSL ühendusi. Kuna seda teeb tavaliselt veebi sirvijad, siis kasutab selleks man-in-middle (mees keskel) lähenemist. Seega on võimalik näha reaalset SSL ühenduse paketi sisu päringu saatmisel ja vastuse saamisel.
*Dünaamilised SSL sertifikaadid - lubab sul läbipaistvalt lahtikrüpteerida SSL ühendusi. Kuna seda teevad tavaliselt veebilehitsejad, siis kasutab selleks man-in-middle (mees keskel) lähenemist. Seega on võimalik näha reaalset SSL ühenduse paketi sisu päringu saatmisel ja vastuse saamisel.


*API - annab võimaluse oma rakendusel suhelda otse ZAPi rakendusega.
*API - annab võimaluse oma rakendusel suhelda otse ZAPi rakendusega.
Line 40: Line 49:
*BeanShell integratsioon - tegu on interaktiivse Java kestaga, mis lubab käivitada BeanShell skripte. Need skriptid on lihtsustatud kujul Java, mis kasutab palju Java süntaksit, kuid on lihtsamas skriptimis formaadis.
*BeanShell integratsioon - tegu on interaktiivse Java kestaga, mis lubab käivitada BeanShell skripte. Need skriptid on lihtsustatud kujul Java, mis kasutab palju Java süntaksit, kuid on lihtsamas skriptimis formaadis.


====jätkub====
==Instaleerimine==
 
Tarkvara on allalaetav lehelt: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
 
Linuxis teha sedasi:
 
laen alla installika
<pre>wget http://zaproxy.googlecode.com/files/ZAP_1.4.1_Linux.tar.gz</pre>
 
teen alam kausta
<pre>mkdir -p /opt/zap/</pre>
 
pakin lahti
<pre>tar xvzf ZAP_1.4.1_Linux.tar.gz -C /opt/zap/</pre>
 
liigun kausta
<pre>cd /opt/zap/</pre>
 
käivitan
<pre>zap.sh</pre>
 
==Kokkuvõte==
 
Kokkuvõtteks on tegemist hea testimis vahendiga, millega on võimalik päris hea ülevaade saada nõrkustest veebi rakenduses. Muidugi peab osakama seda kasutada. Selleks tuleks uurida kasutaja manuali: http://code.google.com/p/zaproxy/wiki/HelpIntro . Kindlasti on soovitav sama laadi tarkvaraga oma rakendusi testida.
 
 
===Koostas===
===Koostas===
Tauri Jaanus AK21 10.12.2012
Tauri Jaanus AK21 10.12.2012
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Latest revision as of 14:09, 16 December 2012

Sissejuhatus

Zed Attack Proxy (ZAP). Tegu on kergesti kasutatava veebirakenduste turvalisuse testimiseks mõeldud tarkvaraga. Tarkvara on mõeldud turvaspetsialistidele ja ka arendajatele ning testijatele oma tarkvara turvalisuse testimiseks. See sisaldab automaatseid skaneerimisvahendeid ja ka manuaalseid tööriistu, millega on võimalik turvaauke otsida.

Selles sisalduvad antud funktsionaalsused:

  • Pealtkuulamis proxy
  • Automaatne skanner
  • Pasiivne skanner
  • Brute Force (toore jõu) skanner
  • Spider (ämblik)
  • Fuzzer
  • Kiipkaardi ja kliendi digitaalsete sertifikaatide tugi
  • Pordiskanner
  • Dünaamilised SSL sertifikaadid
  • API
  • BeanShell integratsioon

Toetatud operatsiooni süsteemid:

  • Windows
  • Linux
  • Mac OS X

Eelduseks on Java olemasolu.

Toetatud on ka erinevad keeled. Programmi paketti uuendatakse iga nädal.

Funktsionaalsus

  • Pealtkuulamis proxy - ZAP on pealtkuulamist Proxy. See võimaldab teil näha kõiki tehtud päringuid veebirakendusele ja kõik päringu vastuseid, mis päringutele vastavad. Muuhulgas see võimaldab näha AJAX toiminguid, mida muidu ei pruugi näha.
  • Automaatne skanner - aktiivne skaneerimine proovib leida võimalikke nõrku kohti, kasutades tuntud ründeid valitud sihtmärgi vastu.

Kuna tegu on ründemehhanismiga, siis ei tohiks kasutada seda veebirakenduste vastu, mida ei omata. Lisaks ei ole aktiivne skaneerimine mõeldud kõikide nõrkuste jaoks. See ei leia näiteks katkist ligipääsupoliitikat. Seetõttu peaks alati kasutama ka manuaalseid tööriistu lisaks automaatsetele.

  • Passiivne skanner - see uurib kõiki vastuseid mille sai veebi rakenduselt ning ei muuda neid. Seega on turvaline seda kasutada. Skaneerimine toimub taustas, et rakenduse tööd ei aeglustaks.
  • Brute Force skanner - lubab kasutada seda kataloogide ja failide vastu. Kaasas on failide kogum, kus sisalduvad enam levinud kataloogide ja failide nimed. See tööriist proovib otse ligi saada kataloogidele ja failidele, mitte otsides nende linke.
  • Spider - on vahend, millega on võimalik automaatselt otsida uusi resursse(URL) määratud lehel. See alustab otsingut URLide nimekirjast, käib need läbi ja lisab kõik võimalikud oma nimekirja. Sedasi saab veebilehte kaardistada.
  • Fuzzer - see on mehhanism, mis saadab valitud sihtmärgile palju puudulikke ja ootamatuid andmeid.
  • Kiipkaardi ja kliendi digitaalsete sertifikaatide tugi - kiipkaardi-põhise autentimise toetus veebirakendustele, mis kasutavad HTTPS (SSL / TLS) ja X.509 kliendi digitaalsertifikaate. Kui määratud veebirakendus nõuab digitaalse sertifikaadiga autoriseerimist, siis see oskab juhtida kiipkaardi lugejat ja autoriseerida kasutajat nagu ta teeks seda päriselt.
  • Pordiskanner - pakub standardset pordiskannerit, mis näitab millised pordid on sihtmärgil avatud.
  • Dünaamilised SSL sertifikaadid - lubab sul läbipaistvalt lahtikrüpteerida SSL ühendusi. Kuna seda teevad tavaliselt veebilehitsejad, siis kasutab selleks man-in-middle (mees keskel) lähenemist. Seega on võimalik näha reaalset SSL ühenduse paketi sisu päringu saatmisel ja vastuse saamisel.
  • API - annab võimaluse oma rakendusel suhelda otse ZAPi rakendusega.
  • BeanShell integratsioon - tegu on interaktiivse Java kestaga, mis lubab käivitada BeanShell skripte. Need skriptid on lihtsustatud kujul Java, mis kasutab palju Java süntaksit, kuid on lihtsamas skriptimis formaadis.

Instaleerimine

Tarkvara on allalaetav lehelt: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Linuxis teha sedasi:

laen alla installika

wget http://zaproxy.googlecode.com/files/ZAP_1.4.1_Linux.tar.gz

teen alam kausta

mkdir -p /opt/zap/

pakin lahti

tar xvzf ZAP_1.4.1_Linux.tar.gz -C /opt/zap/

liigun kausta

cd /opt/zap/

käivitan

zap.sh

Kokkuvõte

Kokkuvõtteks on tegemist hea testimis vahendiga, millega on võimalik päris hea ülevaade saada nõrkustest veebi rakenduses. Muidugi peab osakama seda kasutada. Selleks tuleks uurida kasutaja manuali: http://code.google.com/p/zaproxy/wiki/HelpIntro . Kindlasti on soovitav sama laadi tarkvaraga oma rakendusi testida.


Koostas

Tauri Jaanus AK21 10.12.2012