Verificar a vulnerabilidade de um site com ZAP

ZAP (Proxy de Ataque Zed) é uma ferramenta de teste de penetração para testar sites. É um scanner que permite testes automáticos de segurança na web. Neste tutorial, aprenderemos como usar a verificação de segurança executando ataques automatizados.
Ele foi projetado para ser usado por iniciantes em segurança ou por especialistas com amplo conhecimento em segurança. É um software muito importante para desenvolvedores e administradores de servidor que desejam fazer testes de penetração de segurança funcional.
Algumas empresas que usam e colaboram com o ZAP são: OWASP, Mozilla, Google, Microsoft e outros.
O Zap pode ser baixado da página oficial do OWASP Zed Attack Proxy Project, existem versões para várias plataformas nativas ou multiplataforma em Java.

Neste caso usaremos a versão Multiplataforma ou multiplataforma, que contém todas as versões, que é programada em Java, para executá-la é necessário ter instalado JRE 7 (Java Runtime Environment) ou mais alto.
Uma vez baixado, descompactamos o arquivo e o executamos como qualquer software Java, neste caso usamos Linux.
De qualquer sistema operacional, podemos executar de um acesso direto ou de um terminal com o comando

 java -jar zap-2.4.2.jar

Aceitamos os termos e condições apresentados ao iniciar e ir para a tela principal do software.

Vamos fazer um teste de segurança, você pode usar o domínio ou o ip da web neste caso usaremos o ip 67.222.16.108.
Adicionamos o ip na caixa de texto URL para ataque e, a seguir, clicamos no botão Ataque. Depois de escanear todas as páginas encontradas na web obteremos o resultado.

Podemos ver que algumas vulnerabilidades foram encontradas, tais como:
X-Frame, que é uma vulnerabilidade que permite exibir um site completo em um iframe e, assim, fazer alguém pensar que está navegando em um site quando, na verdade, há outro incluído no iframe. Suponha que criemos um site, incluímos o Facebook em um iframe e um formulário Paypal em outro, simulando que o Facebook cobra pelo registro, portanto, com qualquer site, o pagamento iria de fato para o invasor.

Este tipo de ataque é chamado clickjacking e pode ser evitado, por exemplo, com Javascript, colocando este código nas tags da web.

 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }

Outra vulnerabilidade encontrada neste IP é que ele não possui proteção XSS, esta pode ser implementada dependendo da linguagem de programação que utilizamos.
Evitar Ataques XSS é fácil, existem muitas bibliotecas para usar em qualquer aplicativo da web.
O método envolve verificar os dados que os usuários inserem ou de qualquer fonte de dados externa ou qualquer parâmetro que foi enviado por url.
Esses cuidados são os únicos que devemos levar em consideração para prevenir Ataques XSS e aumentar a segurança que previne ataques XSS, para isso devemos realizar a validação dos dados, controlar os dados que a aplicação recebe e evitar que códigos perigosos sejam utilizados ou executados quando os dados são introduzidos.
Função de exemplo strip_tag () em php
Esta função remove qualquer caractere html que contenha a variável $ description, exceto aqueles que ela autoriza, como neste caso

parágrafo e negrito

 $ description = strip_tags ($ _ POST [descrição], ’
,’);

Agora que alcançamos a primeira análise, começaremos a aplicar diferentes ferramentas e plugins para fazer Fuzzing, denomina-se Fuzzing para a utilização de várias técnicas de teste que enviam dados para a aplicação de forma massiva e sequencial, para tentar detectar vulnerabilidades na web ou no software que estamos analisando.
Por exemplo, pegamos qualquer site que seja potencialmente vulnerável do tipo
http: //www.dominio/i… rdetalle & id = 105
Em outro tutorial SQLMAP, ferramenta SQL Injection e Ethical Database hacking, ele explicou que uma maneira fácil de encontrar um site para analisar é colocar section.php? Id = no mecanismo de pesquisa do Google e veremos milhares de sites que podem ser vulneráveis . Aqui está, caso esteja interessado:

Ferramenta de injeção SQL

Analisamos um site e vemos a lista de páginas vulneráveis.

Então pegamos uma das páginas, neste caso o index.php que tem duas variáveis ​​id e section, então clicamos com o botão direito nesta página.

Vamos ao menu Ataque e selecionamos Fuzz, a janela Fuzzer se abre e clicamos na caixa de texto em branco, isso ativará o botão Adicionar que nos permitirá adicionar o tipo específico de ataque.

Em seguida, veremos a tela Payloads. As funções ou exploits fornecidos pelo software para testar e pesquisar vulnerabilidades e causar erros na web que estamos auditando são chamados de Payload. Nesta tela, clicamos em Adicionar para adicionar uma carga útil.
Aqui podemos selecionar o tipo de ataque a ser executado, selecionar o tipo File fuzzer e escolher a Payload Injection que cobre ataques xss, ataque de injeção de sql entre outros e injeção de sql que cobre todos os ataques de sql. Podemos adicionar e testar muitos tipos diferentes de ataques da lista que Zap nos oferece.

Em seguida, clicamos em adicionar, depois em Aceitar e clicar no botão Iniciar Fuzzer para iniciar a auditoria.

Como resultado da digitalização com o Injeção de carga útil Y Injeção SQL, detectamos que a web é vulnerável a ataques XSS e tem pelo menos três falhas quando confrontada com injeções de sql de alto risco e nos informa em quais páginas está o problema.
Outra análise que podemos fazer é selecionar a carga útil do servidor Web, neste caso veremos que temos um problema com sessões e cookies, pois podem ser lidos no navegador que estamos usando.

PROLONGAR

Outra opção é simular o tráfego de 10.000 usuários quase simultâneos, que irão navegar em todos os links disponíveis em nosso site, gerando solicitações para ver se o site não está saturado e fora de serviço.
Por exemplo, vamos adicionar um payload, selecionamos o domínio ou a página principal com o botão direito e vamos em Attack> Fuzz, depois clicamos em Add, na tela Payload clicamos em Add, selecionamos o tipo de File Fuzzer e no jbrofuzz ​​selecionamos Zero Fuzzers.

Depois de executar a carga útil, veremos o tráfego para nossas páginas, mas também veremos o tráfego para as páginas da web que vinculamos.

Podemos verificar no caso deste site o tráfego gerado para o facebook, twitter, linkedin, google plus, entre outros que certamente compõem a estratégia de redes sociais deste site. Se tivermos Google Analytics ou Google Searh Console (anteriormente Webmastertools) Também vai gerar tráfego, por isso não é bom ultrapassar esses testes, ou é melhor fazê-lo localmente, com o Google Analytics desabilitado.

A Internet e os aplicativos da web aumentam o número de usuários a cada dia, por isso a demanda por especialistas em segurança da informação e auditores dentro das empresas é muito importante.
Esses testes não são conclusivos, são apenas um alerta para que possamos aprofundar a investigação. Essas simulações de ataque e varreduras automatizadas podem fornecer uma solução rápida para sites de auditoria.
É importante que essas ferramentas sejam usadas com cuidado e propósitos éticos, pois são usadas por webmasters e também por aqueles que gerenciam servidores e hackers mal-intencionados. OWASP ZAP é uma ferramenta amplamente utilizada por aqueles que fazem hacking ético para seu trabalho em aplicativos de teste e auditoria de segurança da web.
Para obter mais informações sobre segurança de TI com outras técnicas, ataques, hack etc. mantenha-se atualizado e compartilhe seu conhecimento aqui:

Tutoriais de segurança do computador

Gostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo