[Kali linux 2.0]ZAProxy: тестирование на проникновение веб-приложений

renameduser_37329 · 5 июн 2016

OWASP Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновения и нахождения уязвимостей в веб-приложениях.

Он создан для использования людьми с различным опытом в сфере безопасности, и поэтому идеален для разработчиков и функциональных тестеров, которые новички в тестировании на проникновении. Но эта программа не окажется бесполезной и для опытных пентестеров — она найдёт своё место и в их наборе инструментов.

Некоторые из функций ZAP:

Перехват ******

Традиционный и AJAX пауки

Автоматизированный сканер

Пассивный сканер

Принудительный просмотр

Фаззлер

Динамические SSL сертификаты

Поддержрка смарткарт и клиентских цифровых сертификатов (Smartcard и Client Digital Certificates)

Поддержка веб-сокетов

Поддержка аутентификаций и сессий

Мощный REST на основе API

Поддержка большого количества скриптовых языков

Опция автоматического обновления

Интегрированный дополнения и растущий маркет обновлений

Некоторые из особенностей ZAP:

Открытый исходный код

Кросс-платформенная

Простая в установке (требуется Java 1.7)

Совершенно бесплатная (нет платы за ‘Pro’ версию)

Приоритетом является простота в использовании

Всесторонняя справка

Полностью интернационализована

Переведена на десятки языков

Основана на сообществе с привлечением активного поощрения

Активно развивается международной командой добровольцев

Инструкция по использованию ZAProxy

Всё довольно просто. Для запуска программы введите в терминал

zaproxy

Откроется графический интерфейс. Введите адрес сайта и нажмите кнопку «Атака».

После этого паук начнёт строить дерево страниц сайта, а сканер проводить различные тесты с найденными страницами. При появлении уязвимостей, будут появляться цифры рядом с флажками: красные означают крайне серьёзные уязвимости (вроде SQL-инъекций и XSS). В дереве страниц сайта уязвимые страницы также будут помечены.

Для просмотра всех найденных уязвимостей и замечаний по безопасности, перейдите во вкладку "Оповещения":

Сегодняшняя инструкция довольно короткая — дополнительные опции вы можете посмотреть самостоятельно, думаю, много вопросов они не вызовут.

5 Полезных способов юзать conntrack для анализа сетевого трафика.

Форк бомба на Linux.

Есть статьи по maltego?

Пробиваем людей по номеру

Гейминг на Linux: миф или реальность?

Подглядываем за чужой вебкой [Kali Linux]

Разведка для pentesta | принципы разведки | инструменты для разведки

****им RDP, SSH, VNC с помощью Crowbar

Как поиграть в игры на linux лёгкий способ

КАК ХАЦНУТЬ wi-fi?

Базовая информация по сетевому взаимодействию

Установка kali linux на android (termux)

Как установить Kali Linux на флешку с сохранением и без + переходом Gnub ? Мини-Гайд

Взлом ПК с помощью GIF

Взламываем сайты за 5 минут [ Kali Linux ]

Взлом любого телефона Android за пару минут

Создание бэкдора HTTP-сервера Apache

Базовая эскалация привелегий (PrivEsc)

Браузер в консоли Linux

Среда Kali Nethunter в Termux (Перезалив)

[ Kali Linux ] Роняем сайты c помощью "Xerses"

Площадки по пентесту в 2024 году

Взлом Андроид телефона

Взлом Android с помощью Kali (Удаленно)

Решение проблемы подключения ардуино к Ubuntu

Быстрый анализатор ссылок PIDRILA (лучше чем Dirb)

Memcrashed ddos termux

Инструкция по использованию Wifite

Инструменты Kali Linux: мощь тестирования и безопасности (Новичкам)

Установка Python нужной версии на Kali Linux

[Kali linux 2.0]ZAProxy: тестирование на проникновение веб-приложений