Nếu bạn là người thường xuyên tìm hiểu công nghệ cũng như những ứng dụng nâng cao bảo mật hệ thống thì chắc hẳn không thể không biết đến Owasp Zap – công cụ quét lỗ hổng bảo mật phải không nào? Nếu bạn chưa biết về công cụ này? Không sao cả, bởi VDO sẽ Hướng dẫn sử dụng Owasp Zap, giúp bạn hiểu rõ hơn về công cụ này.
Khái niệm và chức năng của Owasp Zap
Owasp Zap – The Open Web Application Security Project được hiểu là dự án Bất Động Sản mở về bảo mật thông tin ứng dụng web. Đây là một dự án Bất Động Sản được cả hội đồng chung tay tham gia, giúp những tổ chức triển khai hoàn toàn có thể tăng trưởng mở hoặc bảo dưỡng những ứng dụng ở trạng thái an toàn. Chúng được người dùng biết đến nhiều nhất với tính năng quét lỗi bảo mật thông tin của ứng dụng web, mã nguồn mở. Bạn sẽ tìm thấy nhiều tính năng tuyệt vời ở Owasp Zap gồm có cả không lấy phí và trả phí như :
- Là mã nguồn mở.
- Các công cụ đạt chuẩn về an toàn thông ton
- Thực hiện chính sách kiểm tra về bảo mật, an toàn cho mã nguồn
- Sử dụng hoàn toàn miễn phí.
- Ứng dụng đa nền tảng.
- Dễ dàng cài đặt và sử dụng.
- Cho phép triển khai sử dụng nhiều ngôn ngữ.
- Quét tự dộng
- Tự động cập nhật nhiều tính năng cho người dùng
- Là công cụ được nhiều người dùng tham gia sử dụng, tạo thành một cộng đồng nhiều thành viên.
- Được phát triển bởi các chuyên gia lập trình chuyên nghiệp.
Ngoài ra, Owasp Zap cũng đưa ra 10 rủi ro mà bạn có thể gặp phải
- Khả năng bị tiêm nhiễm mã độc.
- Tính san lầm trong việc kiểm tra định danh cũng như các phiên làm việc.
- Thực thi mã Scrip xấu.
- Đối tượng tham chiếu không được an toàn tuyệt đối.
- Cấu hình an ninh có thể bị sai.
- Có thể bị lộ cấu hình nhạy cảm.
- Đôi khi còn bị mất kiểm soát mức độ truy cập chức năng.
- Giả mạo yêu cầu.
- Bị tấn công khi sử dụng các thành phần với những lỗ hổng bảo mật.
- Chuyển hướng không an toàn.
Tuy Owasp Zap còn một số ít hạn chế nhưng những ưu điểm chúng mang lại vẫn chiếm được lòng tin của người dùng. Rấ nhiều cá thể, đơn vị chức năng, tổ chức triển khai đã khám phá và thiết lập Owasp Zap thành công xuất sắc để vận dụng chúng trong việc làm của mình. Bạn có muốn tìm hiểu và khám phá chúng không ?
Hướng dẫn sử dụng Owasp Zap cụ thể nhất
Để tìm hiểu bất kì công cụ nào, chúng ta cũng cần phải cài đặt chúng về máy của mình để nghiên cứu và test thử đúng không nào? Owasp Zap cũng không nằm trong ngoại lệ. Công cụ này cần một server – máy chủ cấu hình cao để Owasp Zap hoạt động ổn định. Bạn có thể tìm đến các đơn vị cho thuê server hn chuyên nghiệp để sở hữu ngay cho mình máy chủ chất lượng, cấu hình cao, chuyên nghiệp.
Các bước cài đặt Owasp Zap
Bạn hoàn toàn có thể thiết lập Owasp Zap phiên bản mới nhất, tổng thể đều có trên trang chủ của Owasp Zap nên chúng tôi không để cập trong nội dung bài viết .
Sau khi tải về, bạn hãy triển khai thiết lập như thông thường. Sau khi thiết lập xong, khởi động ứng dụng bạn sẽ thấy giao diện hiện ra như hình bên dưới .
Tại đây, tất cả chúng ta khởi đầu đi vào phần thiết lập .
+ Thiết lập Owasp Zap
Chọn Tools và tìm đến Options, sẽ có một màn hình hiển thị khác Open trên màn hình hiển thị .
Tại đây, ta sẽ thiết lập Address và Port. Mặc định của Address là localhost : 8080, Port là 8080. Trường hợp đã có ứng dụng khác sử dụng cổng 8080 rồi, bạn có thẻ đổi khác một cổng khác tùy ý, sau đó lưu lại thiết lập .
+ Thiết lập bên phía Browser – Google
Hầu hết những hướng dẫn trên mạng lúc bấy giờ đều chỉ giúp bạn thiết lập trên FireFox. Vì vậy, trong bài viết này VDO sẽ hướng dẫn bạn thiết lập chúng trên Google Chrome. Mục đích để ta hoàn toàn có thể sử dụng được Add-on Postman của Google Chrome để test API, phần này sẽ được chúng tôi gửi đến bạn đọc trong nội dung bài viết tiếp theo .
Quay trở lại nội dung chính, bạn cần làm lúc này là cài add – on SwitchyOmega trên Chrome của mình. Mục đích của add on này sẽ giúp bạn bật / tắt quy đổi proxy một cách thuận tiện .
Tại đây, hãy chọn New Profile và thiết lập những thông tin thiết yếu. Một điều cần chú ý quan tâm là bạn phải thiết lập thông số kỹ thuật ở Address và Port giống như những gì bạn đã làm trên Owasp Zap .
Vì sao ta cần phải làm những thiết lập này ? Bởi chúng se giúp Owasp Zap chớp lấy được những gì bạn đang truy vấn từ phía Google .
Sau khi hoàn tất thiết lập, hãy lưu chúng lại bằng nút Apply changes khi chúng đã sáng lên .
Đến đây, bạn đã thiết lập xong Proxy cho Google – Browser rồi đó, nhìn sang góc bên phải sẽ thấy có 1 icon hình tròn trụ hiện lên. Chọn profile bạn vừa thiết lập, để ON và click vào System Proxy để vô hiệu thiết lập .
Như vậy, bạn trọn vẹn hoàn toàn có thể ON OFF để chuyển proxy một cách thuận tiện rồi đó .
+ Test ứng dụng web bằng Owasp Zap
Sau khi thiết lập xong hàng loạt, bạn hoàn toàn có thể test những gì đã thiết lập bằng cách truy vấn vào ứng dụng web bạn đang tăng trưởng ví dụ điển hình .
Nếu thiết lập đúng, bân trái Sites của Owaps Zap sẽ hiện ra URL của website mà bạn vừa truy vấn. Nếu như những bước thiết lập trước của tất cả chúng ta không sai, hãy chuyển tiếp sang phần Protected Mode .
>> > Có thể bạn chăm sóc : Công cụ bảo mật thông tin WireShark
Thiết lập Protected Mode
Owaps Zap hiện tại có 4 chính sách quét khác nhau :
- Khi khởi động nó sẽ được đặt ở chế độ mặc định là Standard.
- Ta cần chuyển sang chế độ Protected Mode.
Vì sao lại vậy ? Bởi nếu chọn những chính sách mặc định Standard hoặc Attack thì năng lực rất cao là hacker sẽ tiến công vào những website mà người dùng không quản trị được. Còn nếu chọn Safe, thì chúng lại không scan được hàng loạt lỗ hổng có trên web. Vì vậy Protected Mode là sựa lựa chọn tuyệt đối nhất .
+ Test Protected Mode
Để test chính sách này, bạn cần vào lin phí bên tab Sites, sẽ thấy mục Attack hiện lê nhưng không kích hoạt được bởi chưa Include in Context. Nhiệm vụ của bạn lúc này là Include URL cần được kiểm tra trong Context .
Công việc của bạn là click chuột phải vào Link và chọn Include in Context và chọn New Context. Khi đó, màn hình hiển thị session property sẽ Open .
Chọn URL và nhấn Enter để được include vào trong context. Khi đó, URL sẽ được Include vào file Context. Một vòng tròn màu đỏ sẽ được hiển thị bên trong các icon của URL.
Như vậy, thao tác của tất cả chúng ta đã thành công xuất sắc. Bây giờ bạn hoàn toàn có thể thực thi những cuộc tiến công như quét động rồi .
Bên dưới là hình ảnh đang thực thi Active Scan. Sau khi quét xong, nếu có lỗ hổng nó sẽ được hiển thị trong Alerts .
Click vào Show scan progres details để hiển thị lên list và những khuôn khổ injection đang quét. Việc quét sẽ được triển khai từ đầu đến cuối cho đến hết những khuôn khổ có trong đó .
Trong mục Active Scan, click vào 1 dòng bất kể, bạn sẽ thấy Owasp Zap đã giả lập để tiến công và tìm lỗ hổng trong hàng loạt ứng dụng của bạn. Như vậy, tab equest và Response sẽ hiển thị rõ những thông tin giả lập đó .
Thiết lập User và pasword cho những công dụng cần login
Phía dưới là 2 đoạn text khi màn hình hiển thị login hay logout. Mục đích để Owaps Zap kiểm tra xem mình đã login hay logout thành công xuất sắc chưa. Bạn hoàn toàn có thể click qua tab Response và copy đoạn text và paste vô đó để đỡ bị nhầm lẫn .
Sau đó nhập user và mật khẩu để đăng nhập
Một việc nữa, bạn cần chọn mục Forced và chọn user vừa tạo rồi nhấn vào icon phía dưới để enable cho người dùng vừa tạo .
Cuối cùng khi triển khai chạy test thì bạn chọn vào cái user vừa tạo và chạy test .
Như những bạn thấy Owasp Zap đã giả những request với phương pháp là POST, và sử dụng username và password mà mình vừa thiết lập đề login và test những công dụng cần login .
Rate this post
0/5
( 0 Reviews )
About VDO Data
