Инструмент DAST - OWASP ZAP

OWASP Zap - это средство тестирования безопасности, аналогичное Burp Suite. Используется для тестирования веб-приложений.

Какие преимущества у OWASP ZAP?

Он полностью открыт и бесплатен. Нет необходимости платить за премиум-версию, все функции доступны, нет необходимости писать собственный код.

Также есть несколько преимуществ при использовании OWASP ZAP перед Burp Suite:

  • Автоматическое сканирование веб-приложений: это автоматическое пассивное и активное сканирование веб-приложения, построение карты сайта и обнаружение уязвимостей. Это платная функция в Burp.

  • Web Spidering: вы можете пассивно создавать карту сайта с помощью Spidering. Это платная функция в Burp.

  • Unthrottled Intruder: вы можете брутфорсить страницы входа в OWASP так быстро, как ваш компьютер и веб-сервер могут обрабатывать. Это платная функция в Burp.

  • Не нужно пересылать отдельные запросы через Burp: при выполнении ручных атак, когда нужно изменять окна для отправки запроса через браузер и затем пересылать в Burp, это может быть утомительным. ZAP обрабатывает оба этапа, и вы можете просто просматривать сайт, а ZAP автоматически перехватит запросы. Этой функции нет в Burp.

Если вы уже знакомы с Burp, то эта картинка поможет вам понять что к чему.

В этой работе мы сделаем следующее:

  • Автоматическое сканирование

  • Брутфорс директорий

  • Аутентифицированное сканирование

  • Брутфорс страницы входа

  • Установка расширений ZAP

Тестирование мы будем проводить на машине Damn Vulnerable Web Application (DVWA)

PreviousВведение в DASTNextУстановка

Last updated