Nội dung trình bày:
- OWASP ZAP là gì
- Cài đặt
- Sử dụng như thế nào
OWASP ZAP là gì
- Là công cụ quét lỗi bảo mật của ứng dụng web, mã nguồn mở.
- Các tính năng của ZAP:
- Zap như một proxy giữa trình duyệt và web app, do đó ta có thể inspect, modify những request được gửi đến app.
- Spider: là tính năng được sử dụng để tự động khám phá ra những URL trên website. Nó bắt đầu với một danh sách URL, sau đó xác định tất cả các URL có trên các trang và thêm chúng vào danh sách URL cần thăm tiếp theo, đệ quy tiếp tục để tìm được URL mới.
- Active scan: là tính năng tự động scan để tìm những lỗi đã được biết trước.
- Passive scan: khi Zap được đặt làm proxy cho trình duyệt, nó sẽ scan tất cả HTTP message (request và response) được gửi đến web app để xác định lỗi. Passive scan không thay đổi request và response.
- Fuzzing: là tính năng cho phép submit nhiều dữ liệu không hợp lệ lên server.
- ....
- Zap như một proxy giữa trình duyệt và web app, do đó ta có thể inspect, modify những request được gửi đến app.
Cài đặt
- Download và cài đặt theo hướng dẫn tại đây:
https://github.com/zaproxy/zaproxy/wiki/Downloads
Sử dụng
Khởi tạo
-
Explore app thủ công
- Sau khi start Zap, bước đầu tiên ta nên explore app thủ công, sử dụng tối đa các chức năng mà web app cung cấp, bởi có những tính năng cần dữ liệu hợp lệ để có thể tiếp tục.
- Để explore, ta Launch Browser ở tab Quick Start hoặc đặt Zap là proxy cho trình duyệt (Preference --> Local Proxy)
-
Sau khi đã explore, ta nên lưu session để tái sử dụng lần sau
-
Tạo Context
- Context là một tập url, thường là một web app
- Context cung cấp các tính năng quan trọng như: Authentication, Users, Session Management…
- Nếu web app cung cấp nhiều role, ta nên lưu mỗi role vào một Zap session.
- Các bước tạo context:
- Trong phần Sites, click icon New Context, sau đó tạo context mới
- Double click vào context vừa tạo
- Mục Authencitation: chọn Authentication mehtod phù hợp
- Mục Users: click Add để thêm mới một user
-
Include web app vào context vừa tạo
-
Thêm những context cần quan tâm và loại những context khác từ Scope bằng cách chuột phải vào mỗi context, sau đó click icon Show only URL in Scope
Tính năng Spider và Active Scan
-
Chọn Attack --> Spider
-
Chọn Context, User, sau đó Start Scan
-
Active Scan cũng tương tự, kết quả sẽ được show trong tab Alert
Tính năng Fuzzing
- Chọn một submit request từ phần Sites cần test, sau đó chọn Fuzz từ menu Attack
- Double click một tham số cần gán nhiều giá trị, tại mục Fuzz Locations --> Add --> Add --> Chọn payload type cần test --> Add --> Start Fuzzer
More
Để tìm hiểu chi tiết, chọn Help --> OWASP ZAP User Guide