OWASP ZAP – narzędzie ułatwiające testowanie aplikacji webowych

Wstęp

ZAP (ang. Zed Attack Proxy) to wielofunkcyjne darmowe narzędzie do testowania bezpieczeństwa aplikacji webowych rozwijane w ramach organizacji OWASP  (ang. Open Web Application Security Project). Jest proste w instalacji i obsłudze, co czyni je idealnym dla osób początkujących, chociaż profesjonaliści też znajdą w nim coś dla siebie. Dostępne jest w wielu wersjach językowych, w tym w języku polskim, oraz na różne systemy operacyjne.

Przykładowy zrzut sesji.

Przyjrzyjmy się części możliwości, jakie oferuje ZAP.

 1. Lokalne proxy przechwytujące

Ustawienie proxy przechwytującego pozwala monitorować komunikację http wraz z jej zawartością. W razie potrzeby jesteśmy też w stanie przechwycić, zmodyfikować i ponownie przesłać każde wysłane żądanie.

Przykładowy zrzut zarejestrowanej komunikacji.

Jeżeli chcemy przechwytywać tylko wybraną komunikację, możemy użyć tzw. punktów zatrzymania (ang. break points) pozwalających określić dokładne kryteria, takie jak treść:

• określony ciąg znaków,
• wyrażenie regularne,

i lokalizacja:

• URL,
• nagłówek żądania/odpowiedzi,
• „ciało” żądania/odpowiedzi.

Przykładowy zrzut konfiguracji punktów zatrzymania.

 2. Spider

Spider to narzędzie automatycznie wyszukujące powiązania (URL) znajdujące się na danej stronie. Działa ono w sposób rekurencyjny, podążając za znalezionym URL, i wznawia proces wyszukiwania do momentu osiągnięcia pewnej „głębokości” lub nieznalezienia nowych powiązań.

W celu wykrycia powiązań spider przeszukuje:

• odpowiedzi HTML,
• tagi Base, A, Link, Area – atrybut „href”,
• tagi Frame, Iframe, Script, Img – atrybut „src”,
• tag Meta – atrybut „http-equiv” w poszukiwaniu „location” i „refresh”,
• tag Form – atrybut „action”,
• komentarze,
• odpowiedzi nie-HTML,
• plik Robots.txt.

Przykładowy zrzut wyników działania tradycyjnego Spidera.

Natomiast Ajax Spider wykorzystuje Crawljax, który steruje przeglądarką za pomocą Selenium, by odkryć powiązania generowane przez aplikację nawet po stronie klienta.

Przykładowy zrzut wyników działania Ajax Spidera.

3. Wymuszone przeglądanie

Funkcja wymuszonego przeglądania próbuje uzyskać bezpośredni dostęp do plików i katalogów, których nazwy znajdują się na liście dostarczonej w pliku tekstowym. Dzięki temu można wykryć ukryte pliki lub katalogi. Działanie tej funkcji jest oparte na kodzie projektu OWASP DirBuster.

Przykładowy zrzut wyniku wymuszonego przeglądania.

4. Aktywne i pasywne skanowanie

Oba skanowania wyszukują popularne podatności w aplikacjach webowych, takie jak:

• Cross Site Scripting (XSS),
• SQL Injection,
• Path Traversal,
• CRLF Injection i inne.

Różnią się oczywiście sposobem działania:

• Pasywne skanowanie – analizuje wszystkie zarejestrowane odpowiedzi pochodzące od aplikacji, nie generując przy tym żadnego dodatkowego ruchu.
• Aktywne skanowanie – pełni funkcję automatycznego skanera, generując odpowiednio przygotowane żądania w celu wykrycia podatności.

Przykładowy zrzut wyniku działania aktywnego skanowania.

Wszystkie wykryte podatności są kategoryzowane ze względu na stopień zagrożenia (wysoki, średni, niski, informacyjny), automatycznie opisywane i zestawiane. ZAP daje możliwość wygenerowania pliku XML lub HML zawierającego raport z takiego zestawienia.

Przykładowy zrzut wykrytych podatności.

5. Zarządzanie dodatkami

Zarządzanie dodatkami pozwala na zwiększenie możliwości ZAP-a. Na przykład w łatwy sposób możemy dodać skaner portów bez konieczności przerywania pracy. Dodatki dzielone są na trzy kategorie zależne od ich danego statusu:

• Release – określa wysoką jakość i poprawność działania,
• Beta – określa znośną jakość ale dodatek może być niekompletny lub wymaga dalszych testów,
• Alpha – określa początkowe stadium pracy nad danym dodatkiem.

Przykładowy zrzut okna zarządzania dodatkami.

6. Fuzzer

Fuzzing polega na przesyłaniu aplikacji niepoprawnych lub nieprzewidzianych danych. Ta funkcja wysyła do aplikacji serie żądań zawierających przygotowane wzorce ataków i analizuje jej odpowiedzi, podobnie jak w przypadku automatycznego skanowania podatności, ale w przeciwieństwie do niego to my (użytkownicy) decydujemy, w którym miejscu (w żądaniu) i jakie wzorce (wybrane z dostępnej bazy danych) zostaną użyte. Działanie fuzzera opiera się na kodzie projektu OWASP JBroFuzz oraz bazie danych FuzzDB.

Przykładowy zrzut wykorzystania Fuzzera.

7. Obsługa dynamicznych certyfikatów SSL

Dzięki obsłudze dynamicznych certyfikatów SSL możemy przechwytywać i analizować zaszyfrowaną komunikację. ZAP działa na zasadzie „man in the middle”, przekazując przeglądarce własny wygenerowany certyfikat. Każdy stworzony certyfikat pochodzi bezpośrednio od głównego certyfikatu „ZAP Root CA”. Co oznacza, że wystarczy raz dodać certyfikat „ZAP Root CA”, by każdy następnie wygenerowany certyfikat był zaufany.

8. Obsługa WebSockets

WebSocket pozwala na dwukierunkową komunikację za pośrednictwem jednego gniazda TCP. Obsługa websocketów pozwala zwiększyć możliwości ZAPa, przez co z jego pomocą jesteśmy w stanie:

• monitorować komunikacje wykorzystującą WebSockety,
• przechwycić i zmodyfikować ww. komunikację,
• fuzzować komunikaty.

9. Obsługa skryptów

ZAP pozwala automatyzować pracę za pomocą skryptów napisanych w różnych językach (wspierających JSR 223), między innymi:

• ECMAScript/Javascript,
• Ruby,
• Python,
• Groovy i inne.

ZAP obsługuje różne rodzaje skryptów:

• autonomiczne (Stand Alone) – uruchamiane ręcznie,
• aktywne zasady (Active Rules) – działają jako część aktywnego skanera, mogą być włączane indywidualnie,
• pasywne zasady (Passive Rules) – działają jako część pasywnego skanera, mogą być włączane indywidualnie,
• proxy (Proxy) – mogą zmienić każde żądanie oraz odpowiedź, mogą być włączane indywidualnie,
• ukierunkowane (Targeted) – działają na konkretne URL lub zestawy URLi, są uruchamiane ręcznie.

Wszystkie skrypty uruchamiane automatycznie są początkowo wyłączone, przed uruchomieniem należy je włączyć.

10. Podsumowanie

Widzimy, że ZAP oferuje szeroką gamę możliwości, co w połączeniu z prostą obsługą daje narzędzie skutecznie wykorzystywane nawet przez osoby z małym doświadczeniem w temacie bezpieczeństwa aplikacji webowych. Warto dodać, że jest to flagowy projekt aktywnie rozwijany przez społeczność OWASP.

 – Daniel Iziourov (daniel.iziourov<sekurak>gmail.com)