OWASP ZAP
OWASP ZAP (Zed Attack Proxy) aracı, Simon Bennets tarafından yazılmış, web zafiyetlerini otomatik olarak tespit etmeyi sağlayan açık kaynak kodlu ve ücretsiz bir web güvenlik tarayıcısıdır. Kali Linux ve Parrot OS da dağıtımlarında mevcuttur. Windows dağıtımlarında da kullanılabilmektedir.
Özellikleri;
– Proxy sunucu olarak kullanılabilir ve bu sayede ağ üzerinde geçen tüm paketleri değiştirilebilir.
– Kurulumu ve kullanımı kolaydır.
– Bir çok dil desteği mevcut.
– Açık kaynaklı olduğundan dolayı geliştirilebilmektedir.
– Web ve ajax spider özelliği.
– Dizin tarama desteği vardır.
ZAP (Zed Attack Proxy) Kullanımı;
Owasp zap çalıştırılır Windows işletim sistemlerinde kurulduktan sonra çift tıklayarak çalıştırılabilir veya Kali Linux sistemlerde terminal ekranına “owasp-zap” yazılarak çalıştırılır.
ZAP çalıştıktan sonra karşımıza,
ZAP bize otomatik ve manuel olmak üzere 2 farklı tarama seçeneği sunmaktadır.
Otomatik taramada; url adresini url attack kısmına yazıp attack butonuna tıklamamız yeterli daha sonra kendisi tarama işlemini otomatik bir şekilde gerçekleştirecektir.
Spider barı, sitenin barındığı url’leri tarar ve taradığı url adreslerini gösterir. Bizlere site yapısı hakkında önemli bilgiler verir
Output barı, tarama işlemi sonlandıktan sonra bizlere çıktı verir.
Alerts barı, burada açıkları bize uyarı şeklinde optimize olarak sunar. Var olabilecek açıklıklara birer flag atanır.
ZAP Proxy olarak kullanılması
Tools -> options -> Local Proxy altında zap proxyin hangi porttan istek alacağını görüntüleyebiliriz.
Burada prxoy yapılandırmasını yaptıktan sonra girdiğimiz sitelerde ve geçmişi sites history kısmında görebilmekteyiz.
Kaynaklar:
https://owasp.org/www-project-zap/