Owasp-Zap Nedir Ve Owasp-Zap Kullanı

OWASP ZAP

OWASP ZAP (Zed Attack Proxy) aracı, Simon Bennets tarafından yazılmış, web zafiyetlerini otomatik olarak tespit etmeyi sağlayan açık kaynak kodlu ve ücretsiz bir web güvenlik tarayıcısıdır. Kali Linux ve Parrot OS da dağıtımlarında mevcuttur. Windows dağıtımlarında da kullanılabilmektedir.

 

Özellikleri;

          Proxy sunucu olarak kullanılabilir ve bu sayede ağ üzerinde geçen tüm paketleri değiştirilebilir.

          Kurulumu ve kullanımı kolaydır.

          Bir çok dil desteği mevcut.

          Açık kaynaklı olduğundan dolayı geliştirilebilmektedir.

          Web ve ajax spider özelliği.

          Dizin tarama desteği vardır.  

 

 

 

ZAP (Zed Attack Proxy) Kullanımı;

Owasp zap çalıştırılır Windows işletim sistemlerinde kurulduktan sonra çift tıklayarak çalıştırılabilir veya Kali Linux sistemlerde terminal ekranına “owasp-zap” yazılarak çalıştırılır.

ZAP çalıştıktan sonra karşımıza,


  

ZAP bize otomatik ve manuel olmak üzere 2 farklı tarama seçeneği sunmaktadır.

 

Otomatik taramada; url adresini url attack kısmına yazıp attack butonuna tıklamamız yeterli daha sonra kendisi tarama işlemini otomatik bir şekilde gerçekleştirecektir. 

Tarama bittikten sonra bize;

 

Spider barı, sitenin barındığı url’leri tarar ve taradığı url adreslerini gösterir. Bizlere site yapısı hakkında önemli bilgiler verir

Output barı, tarama işlemi sonlandıktan sonra bizlere çıktı verir.

Alerts barı, burada açıkları bize uyarı şeklinde optimize olarak sunar. Var olabilecek açıklıklara birer flag atanır.

high  olan flagler detaylıca incelenmelidir.
Bunların içerisinde girerek atağımızı sonucunu görebilir, zafiyet hakkında bilgi edinebilir ve zafiyetin nasıl kapatılacağı hakkında açıklamaları okuyabiliriz. 

 

 

ZAP Proxy olarak kullanılması

Tools -> options -> Local Proxy altında zap proxyin hangi porttan istek alacağını görüntüleyebiliriz.

Burada prxoy yapılandırmasını yaptıktan sonra girdiğimiz sitelerde ve geçmişi sites history kısmında görebilmekteyiz.

 

 

 

 

 

 

 

 

 

 

 

Kaynaklar:

 

https://owasp.org/www-project-zap/