فحص المواقع واستخراج الثغرات بأداة - OWASP ZAP

0
فحص المواقع واستخراج الثغرات بأداة - OWASP ZAP

فحص المواقع واستخراج الثغرات بأداة - OWASP ZAP 

ماهو OWASP ZAP

OWASP Zed Attack Proxy أو  (ZAP) هو أداة مسح / فحص نقاط الضعف الأمنية والثغرات في تطبيقات الويب والمواقع. تم إنشاؤه من قبل مشروع OWASP ، وهو عبارة عن ماسح مفتوح المصدر مبرمج بلغة Java , يحتوي على قدر كبير من الوظائف. ويشمل ذلك برامج زحف الويب ، وتحديد مدى التأثر ، والتحليل المضطرب ، ويمكن أن يكون بمثابة بروكسي.


مميزات ووظائف تطبيق OWASP Zed Attack Proxy

اختبار الأمان هو جزء حيوي من اختبار تطبيق الويب. في ما يلي أهم التهديدات الأمنية لـ OWASP والتي قد يواجهها موقعك / تطبيقك على الويب:
  • SQL injection
  • Broken authentication and session management
  • Cross-site scripting (XSS)
  • Broken access control
  • Security misconfiguration
  • Sensitive data exposure
  • Insufficient attack protection
  • Cross-site request forgery (CSRF)
  • Using components with known vulnerabilities.
  • Underprotected APIs
يوفر لك OWASP Zed Attack Proxy إمكانية اكتشاف هذه التهديدات. وهو مفتوح المصدر ، لذا يمكنك استخدامه مجانًا.
بخلاف ذلك ، ZAP هي أداة سهلة الاستخدام.

بعض الأسباب الأخرى لاستخدام ZAP:

  1. مثالية للمبتدئين والمحترفين
  2. يعمل عبر جميع أنظمة التشغيل (Linux و Mac و Windows)
  3. قابلة لإعادة الاستخدام
  4. يمكن أن تولد تقارير عن النتائج

طريقة فتح وتشغيل OWASP Zed Attack Proxy

  • للوصول إلى ZAP ، من القائمة اختر
Applications > Web Application Analysis > owasp-zap
  • أو اكتب الأمر التالي في سطر الأوامر Terminal:
owasp-zap
بمجرد تحميل ZAP ، سيتم نقلك إلى الشاشة الرئيسية. لبدء إجراء فحص ، أدخل عنوان URL أو عنوان IP الخاص بالنظام المستهدف في شريط عنوان URL  وانقر فوق الزر 'Attack':
ZAP ، الشاشة الرئيسية. لبدء إجراء فحص ، أدخل عنوان URL أو عنوان IP الخاص في شريط عنوان URL وانقر فوق الزر 'Attack'

تتمثل الخطوة الأولى التي يتخذها ZAP عند مسح موقع ما في تحديد الموقع بأكمله أو الزحف إليه ، باتباع الارتباطات المقترنة بالمضيف. بالنسبة إلى هذه الروابط التي تؤدي إلى مضيفين آخرين ، يعرّفها ZAP على أنها خارج النطاق:
ZAP عند مسح موقع ما في تحديد الموقع بأكمله أو الزحف إليه crawl

بعد الزحف إلى الموقع ، يجري ZAP عددًا من الاختبارات المختلفة ضد الثغرات الأمنية الشائعة لتطبيقات الويب.
تتم الإشارة إلى ذلك تحت علامة التبويب التنبيهات Alerts في الركن السفلي الأيسر.
على سبيل المثال ، فيما يلي الثغرات التي حددتها ZAP على تطبيق الويب Metasploitable Metillidae:
الثغرات التي حددتها ZAP على تطبيق الويب Metasploitable Metillidae
الثغرات التي حددتها ZAP على تطبيق الويب Metasploitable Metillidae
يمكنك بعد ذلك الانتقال لأسفل إلى مسارات موقع محدد لتحديد مكان وجود هذه الثغرات الأمنية نفسها بالضبط:
owasp zap exploits detected الثغرات المكتشفة ببرنامج
مكان وجود هذه الثغرات الأمنية

بالإضافة إلى فحص نقاط الضعفvulnerability  لتطبيق الويب ، يحتوي ZAP على قدر كبير من الأدوات الأخرى التي يمكن أن تساعد في تقييم أمان تطبيق الويب. لمزيد من المعلومات حول ZAP ، لدى OWASP وثائق docs موجودة على 
https://www.owasp.org/index.php/ZAP.