HƯỚNG DẪN SỬ DỤNG OWASP ZAP

  -  

Nếu chúng ta là người liên tiếp tìm hiểu technology cũng giống như các ứng dụng cải thiện bảo mật hệ thống thì có lẽ rằng không thể không biết đến Owasp Zap – pháp luật quét lỗ hổng bảo mật thông tin phải không nào? nếu bạn không biết về chế độ này? ko có gì cả, vì chưng VDO vẫn Hướng dẫn sử dụng Owasp Zap, khiến cho bạn hiểu rõ hơn về mức sử dụng này.

Bạn đang xem: Hướng dẫn sử dụng owasp zap

*


Khái niệm và công dụng của Owasp Zap

Owasp Zap – The xuất hiện Web Application Security Project được gọi là dự án mở về bảo mật thông tin ứng dụng web. Đây là 1 dự án được cả xã hội chung tay tham gia, giúp những tổ chức có thể phát triển mở hoặc bảo trì các ứng dụng ở tâm trạng an toàn. Bọn chúng được người dùng biết đến các nhất với nhân tài quét lỗi bảo mật của ứng dụng web, mã mối cung cấp mở. Các bạn sẽ tìm thấy những tính năng tuyệt đối ở Owasp Zap bao gồm cả miễn giá tiền và trả giá thành như:

Là mã nguồn mở.Các điều khoản đạt chuẩn về an toàn thông tonThực hiện cơ chế kiểm tra về bảo mật, an toàn cho mã nguồnSử dụng trọn vẹn miễn phí.Ứng dụng đa nền tảng.Dễ dàng setup và sử dụng.Cho phép triển khai sử dụng nhiều ngôn ngữ.Quét trường đoản cú dộngTự động cập nhật nhiều tính năng cho những người dùngLà công cụ được nhiều người cần sử dụng tham gia sử dụng, chế tác thành một xã hội nhiều thành viên.Được trở nên tân tiến bởi các chuyên viên lập trình chuyên nghiệp.

Ngoài ra, Owasp Zap cũng giới thiệu 10 rủi ro khủng hoảng mà chúng ta có thể gặp phải

Khả năng bị tiêm lây lan mã độc.Tính san lầm trong việc kiểm tra định danh cũng tương tự các phiên làm cho việc.Thực thi mã Scrip xấu.Đối tượng tham chiếu ko được bình yên tuyệt đối.Cấu hình an ninh có thể bị sai.Có thể bị lộ thông số kỹ thuật nhạy cảm.Đôi khi còn bị mất kiểm soát và điều hành mức độ truy vấn chức năng.Giả mạo yêu cầu.Bị tiến công khi sử dụng những thành phần với mọi lỗ hổng bảo mật.Chuyển phía không an toàn.

Tuy Owasp Zap còn một vài hạn chế tuy nhiên những điểm mạnh chúng mang về vẫn chiếm hữu được lòng tin của fan dùng. Rấ những cá nhân, solo vị, tổ chức đã tìm hiểu và cài đặt Owasp Zap thành công để vận dụng chúng trong công việc của mình. Bạn có muốn tìm hiểu bọn chúng không?

Hướng dẫn sử dụng Owasp Zap cụ thể nhất

Để tìm hiểu bất kì cơ chế nào, chúng ta cũng yêu cầu phải setup chúng về máy của bản thân mình để nghiên cứu và demo thử đúng không nhỉ nào? Owasp Zap cũng không phía bên trong ngoại lệ. Biện pháp này phải một hệ thống – đồ vật chủ cấu hình vượt trội để Owasp Zap hoạt động ổn định. Chúng ta cũng có thể tìm đến các đơn vị cho thuê vps hn chuyên nghiệp để mua ngay cho mình máy chủ chất lượng, thông số kỹ thuật cao, chuyên nghiệp.

Các bước thiết đặt Owasp Zap

Bạn có thể setup Owasp Zap phiên bạn dạng mới nhất, tất cả đều phải có trên trang chủ của Owasp Zap nên shop chúng tôi không để cập trong nội dung bài xích viết.

Sau khi download, bạn hãy tiến hành cài đặt như bình thường. Sau khi setup xong, khởi cồn ứng dụng bạn sẽ thấy bối cảnh hiện ra như hình mặt dưới.

Tại đây, bọn chúng ta bắt đầu đi vào phần thiết lập.

+ tùy chỉnh thiết lập Owasp Zap

Chọn Tools và tìm về Options, sẽ sở hữu một màn hình hiển thị khác xuất hiện trên màn hình.

*

Tại đây, ta sẽ tùy chỉnh Address với Port. Khoác định của Address là localhost:8080, Port là 8080. Ngôi trường hợp đã có ứng dụng khác thực hiện cổng 8080 rồi, chúng ta có thẻ thay đổi một cổng không giống tùy ý, sau đó lưu lại thiết lập.

*

+ thiết lập cấu hình bên phía Browser – Google

Hầu hết những hướng dẫn bên trên mạng bây chừ đều chỉ giúp bạn tùy chỉnh thiết lập trên FireFox. Vị vậy, trong bài viết này VDO sẽ khuyên bảo bạn tùy chỉnh chúng trên top mạng tìm kiếm google Chrome. Mục đích để ta rất có thể sử dụng được Add-on Postman của Google Chrome để chạy thử API, phần này đang được cửa hàng chúng tôi gửi đến độc giả trong nội dung nội dung bài viết tiếp theo.

Quay trở về nội dung chính, bạn phải làm hôm nay là cài địa chỉ cửa hàng – on SwitchyOmega bên trên Chrome của mình. Mục đích của địa chỉ cửa hàng on này sẽ giúp đỡ bạn bật/tắt chuyển đổi proxy một cách dễ dàng.

*

Tại đây, nên lựa chọn New Profile và thiết lập những thông tin cần thiết. Một điều cần chú ý là bạn phải tùy chỉnh cấu hình cấu hình sống Address và Port giống hệt như những gì chúng ta đã làm cho trên Owasp Zap.

Vì sao ta cần phải làm những thiết lập cấu hình này? bởi vì chúng se góp Owasp Zap nắm bắt được đầy đủ gì các bạn đang truy vấn từ phía Google.

Sau khi hoàn chỉnh thiết lập, hãy lưu bọn chúng lại bởi nút Apply changes khi bọn chúng đã sáng sủa lên.

Đến đây, các bạn đã tùy chỉnh thiết lập xong Proxy cho Google – Browser rồi đó, chú ý sang góc bên nên sẽ thấy có 1 icon hình trụ hiện lên. Chọn profile bạn vừa thiết lập, để ON cùng click vào System Proxy để vô hiệu hóa thiết lập.

*

Như vậy, các bạn hoàn toàn có thể ON OFF để đưa proxy một cách dễ ợt rồi đó.

Xem thêm: Khởi Động Win 7 64Bit Chạy Chậm, Cách Tối Ưu Hóa, Tăng Tốc Windows 7

+ Test áp dụng web bởi Owasp Zap

 Sau khi cấu hình thiết lập xong toàn bộ, bạn có thể test đa số gì đã thiết lập bằng phương pháp truy cập vào vận dụng web chúng ta đang cải cách và phát triển chẳng hạn.

*

Nếu tùy chỉnh cấu hình đúng, bân trái Sites của Owaps Zap sẽ hiển thị URL của website mà bạn vừa tróc nã cập. Nếu như những bước tùy chỉnh trước của chúng ta không sai, hãy sự chuyển tiếp giữa sang phần Protected Mode.

Thiết lập Protected Mode

Owaps Zap bây giờ có 4 cơ chế quét không giống nhau:

*

Khi khởi động nó sẽ được đặt ở chính sách mặc định là Standard.Ta nên chuyển sang chính sách Protected Mode.

Vì sao lại vậy? Bởi nếu lọc các chính sách mặc định Standard hoặc Attack thì năng lực rất cao là tin tặc sẽ tiến công vào những trang website mà người dùng không cai quản được. Còn nếu lọc Safe, thì bọn chúng lại ko scan được toàn cục lỗ hổng có trên web. Bởi vậy Protected Mode là sựa lựa chọn tuyệt vời và hoàn hảo nhất nhất.

+ demo Protected Mode

Để test cơ chế này, bạn phải vào lin phí bên tab Sites, đang thấy mục Attack hiện tại lê cơ mà không kích hoạt được bởi chưa Include in Context. Trọng trách của bạn lúc này là Include URL rất cần phải kiểm tra trong Context.

*

Công việc của doanh nghiệp là bấm chuột phải vào links và lựa chọn Include in Context và lựa chọn New Context. Lúc đó, màn hình hiển thị session property đã xuất hiện.

*

Chọn URL với nhấn Enter để được include vào vào context. Lúc đó, URL sẽ tiến hành Include vào file Context. Một vòng tròn red color sẽ được hiển thị bên trong các icon của URL.

*

Như vậy, thao tác làm việc của họ đã thành công. Bây giờ bạn cũng có thể thực hiện các cuộc tiến công như quét đụng rồi.

*

Bên dưới là hình ảnh đang triển khai Active Scan. Sau khi quét xong, nếu tất cả lỗ hổng nó sẽ được hiển thị trong Alerts.

*

Click vào Show scan progres details để hiển thị lên danh sách và những khuôn khổ injection sẽ quét. Việc quét đang được triển khai từ đầu mang lại cuối cho tới hết những hạng mục tất cả trong đó.

*

Trong mục Active Scan, click vào 1 dòng bất kì, bạn sẽ thấy Owasp Zap sẽ giả lập để tiến công và tìm lỗ hổng trong cục bộ ứng dụng của bạn. Như vậy, tab equest cùng Response đã hiển thị rõ những tin tức giả lập đó.

Thiết lập User cùng pasword cho những tính năng cần login

Phía dưới là 2 đoạn text khi màn hình login giỏi logout. Mục đích để Owaps Zap kiểm tra xem tôi đã login xuất xắc logout thành công xuất sắc chưa. Bạn cũng có thể click qua tab Response cùng copy đoạn text và paste vô đó nhằm đỡ bị nhầm lẫn.

*

Sau đó nhập user và mật khẩu để đăng nhập

*

Một bài toán nữa, bạn phải chọn mục Forced và chọn user vừa chế tạo rồi nhấn vào icon phía bên dưới để enable cho những người dùng vừa tạo.

*

Cuối cùng khi tiến hành chạy kiểm tra thì bạn chọn vào mẫu user vừa tạo và chạy test.

Xem thêm: Đăng Ký Tài Khoản Teamobi Miễn Phí, Tài Khoản Avatar Miễn Phí 2021 ❤️️ Tặng Acc Free

*

*

Như các bạn thấy Owasp Zap sẽ giả phần đa request với cách thức là POST, và sử dụng username cùng password mà mình vừa tùy chỉnh cấu hình đề login và demo các tác dụng cần login.