✅ Scansiona una vulnerabilità del sito web con ZAP

Sommario

ZAP (proxy attacco Zed) è uno strumento di test di penetrazione per testare i siti web. È uno scanner che consente test automatici di sicurezza web. In questo tutorial impareremo come utilizzare il controllo di sicurezza eseguendo attacchi automatici.
È progettato per essere utilizzato da principianti in materia di sicurezza o da esperti con una vasta conoscenza della sicurezza. È un software molto importante per sviluppatori e amministratori di server che desiderano eseguire test di penetrazione della sicurezza funzionale.
Alcune aziende che utilizzano e collaborano con ZAP sono: OWASP, Mozilla, Google, Microsoft e altri.
Zap può essere scaricato dalla pagina ufficiale di OWASP Zed Attack Proxy Project, esistono versioni per varie piattaforme native o una multipiattaforma in Java.

In questo caso utilizzeremo la versione Cross platform o multipiattaforma, che contiene tutte le versioni, che è programmata in Java, per eseguirla dovremo aver installato JRE 7 (ambiente runtime Java) o più alto.
Una volta scaricato, decomprimiamo il file e lo eseguiamo come un qualsiasi software Java, in questo caso utilizziamo Linux.
Da qualsiasi sistema operativo possiamo eseguire da un accesso diretto o da terminale con il comando

 java -jar zap-2.4.2.jar

Accettiamo i termini e le condizioni mostrati all'avvio e andiamo alla schermata principale del software.

Faremo un test di sicurezza, puoi usare il dominio o l'ip del web in questo caso useremo l'ip 67.222.16.108.
Aggiungiamo l'ip nella casella di testo URL per attaccare e quindi facciamo clic sul pulsante Attacca. Dopo aver scansionato tutte le pagine trovate sul web otterremo il risultato.

Possiamo vedere che sono state rilevate alcune vulnerabilità come:
X-Frame, che è una vulnerabilità che consente di visualizzare un sito Web completo in un iframe e quindi far credere a qualcuno che stia navigando in un sito Web quando in realtà ne ha un altro incluso nell'iframe. Supponiamo di creare un sito Web, di includere Facebook in un iframe e un modulo Paypal in un altro, simulando che Facebook addebiti per la registrazione, quindi con qualsiasi sito Web, il pagamento andrebbe effettivamente all'attaccante.

Questo tipo di attacco si chiama clickjacking e si può prevenire ad esempio con Javascript inserendo questo codice nei tag del web.

 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }

Un'altra vulnerabilità riscontrata in questo IP è che non ha la protezione XSS, questa può essere implementata a seconda del linguaggio di programmazione che utilizziamo.
Evitare Attacchi XSS è facile che ci siano molte librerie da usare in qualsiasi applicazione web.
Il metodo prevede la verifica dei dati che gli utenti inseriscono o da qualsiasi origine dati esterna o qualsiasi parametro inviato dall'URL.
Queste cure sono le uniche che dobbiamo prendere in considerazione per prevenire Attacchi XSS e aumentare la sicurezza che impedisce gli attacchi XSS, per questo dobbiamo eseguire la convalida dei dati, controllare i dati che l'applicazione riceve e impedire che venga utilizzato o eseguito codice pericoloso quando vengono inseriti i dati.
Esempio di funzione strip_tag() in php
Questa funzione rimuove qualsiasi carattere html che contenga la variabile $ descrizione, ad eccezione di quelli che autorizza, come in questo caso

paragrafo e carattere in grassetto

 $ descrizione = strip_tags ($ _ POST [descrizione], '
,’);

Ora che abbiamo raggiunto la prima analisi, inizieremo ad applicare diversi strumenti e plugin per fare Fuzzing, si chiama Fuzzing per l'uso di varie tecniche di test che inviano dati all'applicazione in modo massiccio e sequenziale, per cercare di rilevare vulnerabilità sul web o nel software che stiamo analizzando.
Ad esempio, prendiamo qualsiasi sito Web potenzialmente vulnerabile del tipo
http: //www.dominio/i… rdettalle & id = 105
In un altro tutorial SQLMAP, strumento SQL Injection e hacking del database etico, ha spiegato che un modo semplice per trovare un sito Web da analizzare è inserire section.php?Id = nel motore di ricerca di Google e vedremo migliaia di siti Web che potrebbero essere vulnerabili . Eccolo nel caso foste interessati:

Strumento di iniezione SQL
Analizziamo un sito Web e vediamo l'elenco delle pagine vulnerabili.

Quindi prendiamo una delle pagine, in questo caso index.php che ha due variabili id e section, quindi facciamo clic con il tasto destro su questa pagina.

Andiamo nel menu Attacco e selezioniamo Fuzz, si apre la finestra Fuzzer e facciamo clic sulla casella di testo vuota, questo attiverà il pulsante Aggiungi che ci consentirà di aggiungere il tipo specifico di attacco.

Successivamente vedremo la schermata Payloads. Le funzioni o exploit forniti dal software per testare e cercare vulnerabilità e causare errori sul web che stiamo verificando si chiamano Payload. In questa schermata facciamo clic su Aggiungi per aggiungere un Payload.
Qui possiamo selezionare il tipo di attacco da eseguire, selezionare il tipo di file fuzzer e scegliere il Payload Injection che copre gli attacchi xss, l'attacco sql injection tra gli altri e l'iniezione sql che copre tutti gli attacchi sql. Possiamo aggiungere e testare molti diversi tipi di attacchi dalla lista che Zap ci offre.

Quindi facciamo clic su aggiungi, quindi su Accetta e fai clic sul pulsante Avvia Fuzzer per iniziare l'audit.

Come risultato della scansione con il Iniezione del carico utile sì SQL Injection, abbiamo rilevato che il Web è vulnerabile agli attacchi XSS e presenta almeno tre difetti di fronte a iniezioni SQL ad alto rischio e ci dice in quali pagine si trova il problema.
Un'altra analisi che possiamo eseguire è selezionando il payload del server Web, in questo caso vedremo che abbiamo un problema con sessioni e cookie poiché possono essere letti dal browser che stiamo utilizzando.

INGRANDIRE
Un'altra opzione è quella di simulare il traffico di 10.000 utenti quasi simultanei, che navigheranno su tutti i link disponibili sul nostro sito, generando richieste per vedere se il sito non è saturo e non è più disponibile.
Ad esempio andremo ad aggiungere un payload, selezioniamo il dominio o la pagina principale con il tasto destro e andremo su Attack> Fuzz, quindi facciamo clic su Aggiungi, quindi nella schermata Payload facciamo clic su Aggiungi, selezioniamo Tipo di file Fuzzer e in jbrofuzz abbiamo selezionato Zero Fuzzers.

Dopo aver eseguito il payload, vedremo il traffico verso le nostre pagine, ma vedremo anche il traffico verso quelle pagine web che abbiamo collegato.

Possiamo vedere nel caso di questo sito Web il traffico generato su facebook, twitter, linkedin, google plus, tra gli altri che costituiscono sicuramente la strategia di social media di questo sito Web. Se abbiamo Google Analytics o Google Search Console (ex Webmastertools) Genererà anche traffico, quindi non è bene superare questi test, oppure è meglio farlo in locale, con Google Analytics disabilitato.

Internet e le applicazioni web aumentano il numero di utenti ogni giorno, quindi la richiesta di esperti e revisori della sicurezza delle informazioni all'interno delle aziende è molto importante.
Questi test non sono conclusivi, sono solo un'allerta per poter approfondire l'indagine. Queste simulazioni di attacchi e scansioni automatizzate possono fornire una soluzione rapida per il controllo dei siti Web.
È importante che questi strumenti vengano utilizzati con attenzione e scopi etici in quanto vengono utilizzati anche dai webmaster e da coloro che gestiscono server e hacker malintenzionati. OWASP ZAP è uno strumento ampiamente utilizzato da coloro che praticano hacking etico per il proprio lavoro su applicazioni di verifica e test della sicurezza web.
Per ulteriori informazioni sulla sicurezza informatica con altre tecniche, attacchi, hack ecc. rimani aggiornato e condividi le tue conoscenze qui:

Tutorial sulla sicurezza informatica
Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo