Gần đây, tôi đã có cơ hội làm việc cùng đồng đội xuất sắc của mình từ Triad và Bộ Giao thông (DfT) như một nhà lãnh đạo lĩnh vực QA, phát triển dịch vụ Quản lý Khí thải Nhà kính Nhiên liệu Động cơ cho GOV.UK.
Đối với dự án này, chúng tôi muốn tăng cường khả năng kiểm thử xâm nhập (pen test) nội bộ để cho phép chúng tôi chứng minh tính bảo mật của ứng dụng web từ đầu, thay vì phải chờ kết quả của bài kiểm tra pen test độc lập vào cuối quá trình phát triển. Với sự mới mẻ trong việc kiểm thử xâm nhập, chúng tôi muốn chọn một công cụ dễ thiết lập và có thể tìm thấy nhiều lỗ hổng bảo mật nhất có thể. Sau khi xem xét nhiều công cụ miễn phí và trả phí, chúng tôi đã chọn OWASP Zed Attack Proxy (ZAP) vì những lý do được đề cập ở trên và được mở rộng bên dưới.
Trong bài viết này, tôi sẽ hướng dẫn cách thiết lập và sử dụng OWASP ZAP để kiểm tra tính bảo mật của một ứng dụng web phổ biến.
Trước khi tiếp tục, tôi cảm thấy bắt buộc phải cảnh báo rằng bạn chỉ nên sử dụng công cụ này với một ứng dụng mà bạn tự lưu trữ hoặc được cấp phép rõ ràng để kiểm thử, vì ZAP cố gắng thay đổi dữ liệu và chèn các kịch bản độc hại vào ứng dụng web.
OWASP là gì?
Dự án Open Web Application Security Project (OWASP) là một cộng đồng trực tuyến và mở, chuyên tạo ra các phương pháp, công cụ, công nghệ và hướng dẫn về cách cung cấp ứng dụng web an toàn. Đây là một cơ sở hợp tác quốc tế bao gồm cả cá nhân và các công ty. Dự án nhằm chuẩn hóa các phương pháp bảo mật trong phát triển web và lan truyền kiến thức liên quan.
OWASP ZAP là gì?
OWASP ZAP (ZAP) là một trong những công cụ bảo mật miễn phí phổ biến nhất thế giới và được duy trì tích cực bởi hàng trăm tình nguyện viên quốc tế. Nó có thể giúp tìm ra các lỗ hổng bảo mật trong ứng dụng web. Đây cũng là một công cụ tuyệt vời cho những người kiểm thử xâm nhập kinh nghiệm và mới bắt đầu.
ZAP có thể quét qua ứng dụng web và phát hiện các vấn đề liên quan đến:
- SQL injection
- Đăng nhập không thành công
- Tiết lộ dữ liệu nhạy cảm
- Kiểm soát truy cập không thành công
- Cấu hình bảo mật không đúng
- Cross Site Scripting (XSS)
- Deserialization không an toàn
- Các thành phần có lỗ hổng bảo mật đã biết
- Thiếu tiêu đề bảo mật
Vì sao chúng tôi chọn OWASP ZAP?
Vì nó được thiết kế để được sử dụng bởi những người có nhiều kinh nghiệm kiểm thử xâm nhập, nó rất lý tưởng cho nhóm của chúng tôi, những người mới bắt đầu trong lĩnh vực này.
ZAP là một công cụ mã nguồn mở miễn phí dễ thiết lập và sử dụng. Vì nó được sử dụng bởi cộng đồng rộng lớn, có rất nhiều trợ giúp trực tuyến thông qua blog ZAP và các bài viết khác để giúp bạn thiết lập và sử dụng công cụ.
ZAP có khả năng chạy trên nhiều nền tảng, ví dụ như Windows, Linux hoặc Mac OS.
ZAP có thể chạy trong một Docker container, phù hợp với cấu trúc công nghệ dự án của chúng tôi. Ngoài ra, nó còn có tính năng mở rộng phong phú với nhiều tiện ích khác nhau được xuất bản trên GitHub.
ZAP Jenkins plugin có thể được thiết lập để chạy quét làm phần của chuỗi CI / CD.
Cách nó hoạt động
ZAP là một “proxy man-in-the-middle”. Nó đứng giữa trình duyệt và ứng dụng web. Trong khi bạn duyệt qua tất cả các tính năng của trang web, nó ghi lại tất cả các hành động. Sau đó, nó tấn công trang web bằng các kỹ thuật đã biết để tìm lỗ hổng bảo mật.
Khi ZAP duyệt qua ứng dụng web, nó tạo ra một bản đồ về các trang web của ứng dụng và các tài nguyên được sử dụng để hiển thị các trang web đó. Sau đó, nó ghi lại các yêu cầu và phản hồi được gửi đến từng trang và tạo ra cảnh báo nếu có gì đó có vẻ không ổn định đối với yêu cầu hoặc phản hồi.
Thiết lập ZAP
Để bắt đầu, bạn cần tải xuống và cài đặt OWASP ZAP scanner và cài đặt nó một cách đúng đắn. ZAP không phụ thuộc vào nền tảng nên bạn có thể cài đặt nó trên Windows, Linux hoặc Mac OS. Bạn cần cài đặt Java 8+ trên hệ thống Windows hoặc Linux của bạn.
Đối với mục đích của bài viết này, tôi sẽ tập trung vào việc sử dụng ZAP trên Windows.
Khởi động ZAP
Sau khi thiết lập, bạn có thể khởi động ZAP bằng cách nhấp vào biểu tượng ZAP trên màn hình desktop Windows hoặc từ menu Start.
Khi ứng dụng khởi chạy, nó sẽ hỏi bạn có muốn lưu phiên hay không. Nếu bạn muốn sử dụng cấu hình chạy hiện tại hoặc kết quả kiểm tra sau này, bạn nên lưu phiên cho lần sau. Hiện tại, hãy chọn “Không, tôi không muốn lưu phiên này vào thời điểm hiện tại”.
Khi bạn nhấp vào nút “Bắt đầu”, giao diện ZAP sẽ được khởi chạy.
Thực hiện quét ứng dụng web
Quét một ứng dụng web có nghĩa là duyệt qua tất cả các liên kết và nhận cấu trúc của ứng dụng đó. ZAP cung cấp hai loại “spiders” để duyệt qua ứng dụng web:
-
Spider ZAP truyền thống:
Spider ZAP truyền thống tìm ra các liên kết bằng cách xem xét HTML trong các phản hồi từ ứng dụng web. Spider này nhanh nhưng không luôn hiệu quả khi khám phá một ứng dụng web AJAX. -
Spider AJAX:
Đây có thể hiệu quả hơn cho các ứng dụng AJAX. Spider này khám phá ứng dụng web bằng cách kích hoạt trình duyệt rồi theo các liên kết đã được tạo ra. Spider AJAX chậm hơn spider truyền thống.
Quét tự động
Tùy chọn này cho phép bạn khởi chạy một quét tự động đối với một ứng dụng chỉ bằng cách nhập URL. Nếu bạn mới bắt đầu với ZAP, nên bắt đầu với chế độ Quét Tự Động.
Để chạy Một Quét Tự Động Nhanh:
- Khởi động ZAP và nhấp vào nút “Quét Tự Động” lớn trong tab “Khởi đầu Nhanh”.
- Nhập URL đầy đủ của ứng dụng web bạn muốn tấn công vào ô văn bản “URL để tấn công”.
- Nhấp vào nút “Tấn công”.
Khi nhấp vào nút “Tấn công”, ZAP sẽ bắt đầu duyệt qua ứng dụng web bằng spider và quét mỗi trang một cách không xâm phạm. Sau đó, ZAP sẽ sử dụng trình quét tích cực để tấn công tất cả các trang, chức năng và tham số đã khám phá.
Khám phá ứng dụng web bằng tay
Spider là một cách tuyệt vời để khám phá cơ bản của trang web, nhưng chúng nên được kết hợp với khám phá thủ công để hiệu quả hơn. Chức năng này rất hữu ích khi ứng dụng web của bạn cần đăng nhập hoặc chứa các mẫu đăng ký, vv.
Bạn có thể khởi chạy trình duyệt được cấu hình sẵn để proxy qua ZAP thông qua tab “Khởi động Nhanh”. Trình duyệt được khởi chạy theo cách này cũng sẽ bỏ qua bất kỳ cảnh báo xác thực chứng chỉ nào mà thông thường sẽ được báo cáo.
Để Khám phá ứng dụng web bằng tay:
- Khởi động ZAP và nhấp vào nút “Khám phá Thủ công” lớn trong tab “Khởi đầu Nhanh”.
- Nhập URL đầy đủ của ứng dụng web cần khám phá vào ô văn bản “URL để khám phá”.
- Chọn trình duyệt mà bạn muốn sử dụng và nhấp vào nút “Khởi chạy Trình duyệt”.
Điều này sẽ khởi chạy trình duyệt đã chọn với một hồ sơ mới. Bây giờ hãy khám phá tất cả các ứng dụng web mục tiêu thông qua trình duyệt này. ZAP sẽ quét một cách không xâm phạm tất cả các yêu cầu và phản hồi được tạo ra trong quá trình khám phá của bạn để tìm lỗ hổng bảo mật và tiếp tục xây dựng cây trang web cũng như ghi nhận các cảnh báo về các lỗ hổng bảo mật có thể xảy ra trong quá trình khám phá.
Quét không xâm phạm là gì?
Quét không xâm phạm chỉ quét các phản hồi ứng dụng web mà không thay đổi chúng. Nó không tấn công hoặc chèn các kịch bản độc hại vào ứng dụng web, vì vậy đây là một quét an toàn; bạn có thể sử dụng nó nếu bạn mới bắt đầu kiểm thử bảo mật. Quét không xâm phạm tốt trong việc tìm ra một số lỗ hổng bảo mật và giúp bạn hiểu về tính bảo mật cơ bản của ứng dụng web.
Quét tích cực là gì?
Quét tích cực tấn công ứng dụng web bằng cách sử dụng các kỹ thuật đã biết để tìm lỗ hổng bảo mật. Đây là một cuộc tấn công thực sự, cố gắng thay đổi dữ liệu và chèn các kịch bản độc hại vào ứng dụng web.
Quét tích cực đặt ứng dụng vào rủi ro, vì vậy không sử dụng quét tích cực đối với các ứng dụng web mà bạn không có quyền kiểm tra.
Kiểm tra kết quả
Sau khi quét hoàn tất, ZAP sẽ tạo ra một danh sách các vấn đề được tìm thấy trong quá trình quét. Những vấn đề này có thể được xem trên tab Alerts nằm ở phần dưới cùng. Tất cả các vấn đề đều được đánh dấu bằng các cờ màu. Bạn cũng có thể tạo báo cáo quét HTML thông qua tùy chọn “Báo cáo” trên màn hình.
Tổng kết
ZAP là một công cụ kiểm tra bảo mật miễn phí và mã nguồn mở, đa nền tảng, quét qua ứng dụng web của bạn để tìm lỗ hổng bảo mật. Đây là một công cụ tuyệt vời cho những người kiểm thử xâm nhập kinh nghiệm cũng như những người mới bắt đầu.
ZAP duyệt qua ứng dụng web được kiểm tra và quét các lỗ hổng bảo mật đã biết.
Đối với người mới bắt đầu, rất dễ bắt đầu với Quét Tự Động sẽ duyệt qua URL đã cho bằng spider và quét mỗi trang một cách không xâm phạm. Bạn có thể thực hiện quét sâu hơn bằng cách khám phá ứng dụng web bằng tay.
ZAP tạo ra báo cáo quét dưới dạng Cảnh báo được đánh dấu bằng các cờ màu. Bạn cũng có thể tải xuống báo cáo HTML từ tùy chọn “Báo cáo”.
ZAP cũng có thể tích hợp vào khoảng CI/CD pipeline bằng cách sử dụng plugin ZAP Jenkins.
Venu Botla
Tư vấn viên, Triad Group Plc
Conclusion: So above is the Cách thiết lập OWASP ZAP để quét ứng dụng web của bạn để tìm lỗ hổng bảo mật article. Hopefully with this article you can help you in life, always follow and read our good articles on the website: natuts.com
