Scannez une vulnérabilité de site Web avec ZAP

Table des matières
ZAP (Zed Attack Proxy) est un outil de test d'intrusion pour tester les sites Web. C'est un scanner qui permet des tests de sécurité Web automatiques. Dans ce tutoriel, nous allons apprendre à utiliser le contrôle de sécurité en effectuant des attaques automatisées.
Il est conçu pour être utilisé par des débutants en sécurité ou par des experts ayant une connaissance approfondie de la sécurité. C'est un logiciel très important pour les développeurs et les administrateurs de serveurs qui souhaitent effectuer des tests de pénétration de la sécurité fonctionnelle.
Certaines entreprises qui utilisent et collaborent avec ZAP sont : OWASP, Mozilla, Google, Microsoft et autres.
Zap peut être téléchargé à partir de la page officielle du projet OWASP Zed Attack Proxy, il existe des versions pour diverses plateformes natives ou une multiplateforme en Java.

Dans ce cas, nous utiliserons la version multiplateforme ou multiplateforme, qui contient toutes les versions, qui est programmée en Java, pour l'exécuter, nous devrons l'avoir installée JRE 7 (environnement d'exécution Java) ou plus.
Une fois téléchargé, nous décompressons le fichier et l'exécutons comme n'importe quel logiciel Java, dans ce cas nous utilisons Linux.
Depuis n'importe quel système d'exploitation, nous pouvons exécuter depuis un accès direct ou depuis un terminal avec la commande
 java -jar zap-2.4.2.jar

Nous acceptons les termes et conditions indiqués au démarrage et accédons à l'écran principal du logiciel.

Nous allons faire un test de sécurité, vous pouvez utiliser le domaine ou l'ip du web dans ce cas nous utiliserons l'ip 67.222.16.108.
Nous ajoutons l'adresse IP dans la zone de texte URL à attaquer, puis cliquez sur le bouton Attaque. Après avoir scanné toutes les pages trouvées sur le web, nous obtiendrons le résultat.

Nous pouvons voir que certaines vulnérabilités ont été trouvées telles que:
X-Frame, qui est une vulnérabilité qui permet d'afficher un site Web complet dans un iframe et ainsi de faire croire à quelqu'un qu'il navigue sur un site Web alors qu'il en a en fait un autre inclus dans l'iframe. Supposons que nous créions un site Web, nous incluions Facebook dans un iframe et un formulaire Paypal dans un autre, simulant que Facebook facture l'enregistrement, donc avec n'importe quel site Web, le paiement irait en fait à l'attaquant.

Ce type d'attaque est appelé détournement de clics et cela peut être évité par exemple avec Javascript en mettant ce code dans les balises du web.
 if (top! = self) {top.onbeforeunload = function () {}; top.location.replace (self.location.href); }
Une autre vulnérabilité trouvée dans cette IP est qu'elle n'a pas de protection XSS, cela peut être implémenté en fonction du langage de programmation que nous utilisons.
Éviter Attaques XSS c'est facile, il existe de nombreuses bibliothèques à utiliser dans n'importe quelle application Web.
La méthode consiste à vérifier les données saisies par les utilisateurs ou à partir de toute source de données externe ou de tout paramètre envoyé par URL.
Ces soins sont les seuls dont nous devons tenir compte pour éviter Attaques XSS et augmenter la sécurité qui empêche les attaques XSS, pour cela, nous devons effectuer une validation des données, contrôler les données que l'application reçoit et empêcher l'utilisation ou l'exécution de code dangereux lors de la saisie des données.
Exemple de fonction strip_tag() en php
Cette fonction supprime tout caractère html qui contient la variable $ description, sauf ceux qu'elle autorise, comme dans ce cas

paragraphe et caractère gras

 $ description = strip_tags ($ _ POST [description], ’

,’);

Maintenant que nous avons réalisé la première analyse, nous allons commencer à appliquer différents outils et plugins pour faire du Fuzzing, cela s'appelle Fuzzing à l'utilisation de diverses techniques de test qui envoient des données à l'application de manière massive et séquentielle, pour essayer de détecter vulnérabilités sur le Web ou dans les logiciels que nous analysons.
Par exemple, nous prenons tout site Web potentiellement vulnérable du type
http: //www.dominio/i… rdetalle & id = 105
Dans un autre tutoriel SQLMAP, outil d'injection SQL et piratage de base de données éthique, il a expliqué qu'un moyen simple de trouver un site Web à analyser est de mettre section.php?Id = dans le moteur de recherche Google et nous verrons des milliers de sites Web qui pourraient être vulnérables. . Vous l'avez ici au cas où vous seriez intéressé :

Outil d'injection SQL

Nous analysons un site Web et voyons la liste des pages vulnérables.

Ensuite, nous prenons une des pages, en l'occurrence index.php qui a deux variables id et section, puis nous faisons un clic droit sur cette page.

Nous allons dans le menu Attack et sélectionnons Fuzz, la fenêtre Fuzzer s'ouvre et nous cliquons sur la zone de texte vide, cela activera le bouton Ajouter qui nous permettra d'ajouter le type d'attaque spécifique.

Ensuite, nous verrons l'écran Charges utiles. Les fonctions ou exploits fournis par les logiciels pour tester et rechercher des vulnérabilités et provoquer des erreurs sur le Web que nous auditons sont appelés Payload. Dans cet écran, nous cliquons sur Ajouter pour ajouter une charge utile.
Ici, nous pouvons sélectionner le type d'attaque à effectuer, sélectionner le type File fuzzer et choisir l'injection de charge utile qui couvre les attaques xss, l'attaque par injection sql entre autres et l'injection sql qui couvre toutes les attaques sql. Nous pouvons ajouter et tester de nombreux types d'attaques différents à partir de la liste que nous propose Zap.

Ensuite, nous cliquons sur ajouter, puis sur Accepter et cliquez sur le bouton Démarrer Fuzzer pour commencer l'audit.

À la suite de la numérisation avec le Injection de charge utile Oui Injection SQL, nous avons détecté que le Web est vulnérable aux attaques XSS et qu'il présente au moins trois failles face aux injections SQL à haut risque et il nous indique dans quelles pages se trouve le problème.
Une autre analyse que nous pouvons effectuer consiste à sélectionner la charge utile du serveur Web. Dans ce cas, nous verrons que nous avons un problème avec les sessions et les cookies car ils peuvent être lus à partir du navigateur que nous utilisons.

AGRANDIR

Une autre option consiste à simuler le trafic de 10 000 utilisateurs quasi simultanés, qui navigueront sur tous les liens disponibles sur notre site Web, générant des demandes pour voir si le site Web n'est pas saturé et est hors service.
Par exemple, nous allons ajouter une charge utile, nous sélectionnons le domaine ou la page principale avec le bouton droit et nous allons dans Attaque> Fuzz, puis nous cliquons sur Ajouter, puis dans l'écran de la charge utile, nous cliquons sur Ajouter, nous sélectionnons le type de fichier Fuzzer et dans jbrofuzz, nous avons sélectionné Zero Fuzzers.

Après avoir exécuté la charge utile, nous verrons le trafic vers nos pages, mais nous verrons également le trafic vers les pages Web que nous avons liées.

Nous pouvons voir dans le cas de ce site Web le trafic généré vers facebook, twitter, linkedin, google plus, entre autres qui composent sûrement la stratégie de médias sociaux de ce site Web. Si nous avons Google Analytics ou Google Search Console (anciennement Webmastertools) Il va aussi générer du trafic, il n'est donc pas bon de dépasser ces tests, ou mieux de le faire localement, avec Google analytics désactivé.

Internet et les applications Web augmentent chaque jour le nombre d'utilisateurs, la demande d'experts et d'auditeurs en sécurité de l'information au sein des entreprises est donc très importante.
Ces tests ne sont pas concluants, ils ne sont qu'une alerte pour que nous puissions approfondir l'enquête. Ces simulations d'attaques et ces analyses automatisées peuvent fournir une solution rapide pour l'audit des sites Web.
Il est important que ces outils soient utilisés avec soin et à des fins éthiques, car ils sont également utilisés par les webmasters et ceux qui gèrent les serveurs et les pirates malveillants. OWASP ZAP est un outil largement utilisé par ceux qui font du piratage éthique pour leur travail sur les applications d'audit et de test de la sécurité Web.
Pour plus d'informations sur la sécurité informatique avec d'autres techniques, attaques, hack etc. restez à jour et partagez vos connaissances ici :

Tutoriels de sécurité informatique

Avez-vous aimé et aidé ce tutoriel ?Vous pouvez récompenser l'auteur en appuyant sur ce bouton pour lui donner un point positif
wave wave wave wave wave