Инструмент DAST - OWASP ZAP
OWASP Zap - это средство тестирования безопасности, аналогичное Burp Suite. Используется для тестирования веб-приложений.
Какие преимущества у OWASP ZAP?
Он полностью открыт и бесплатен. Нет необходимости платить за премиум-версию, все функции доступны, нет необходимости писать собственный код.
Также есть несколько преимуществ при использовании OWASP ZAP перед Burp Suite:
Автоматическое сканирование веб-приложений: это автоматическое пассивное и активное сканирование веб-приложения, построение карты сайта и обнаружение уязвимостей. Это платная функция в Burp.
Web Spidering: вы можете пассивно создавать карту сайта с помощью Spidering. Это платная функция в Burp.
Unthrottled Intruder: вы можете брутфорсить страницы входа в OWASP так быстро, как ваш компьютер и веб-сервер могут обрабатывать. Это платная функция в Burp.
Не нужно пересылать отдельные запросы через Burp: при выполнении ручных атак, когда нужно изменять окна для отправки запроса через браузер и затем пересылать в Burp, это может быть утомительным. ZAP обрабатывает оба этапа, и вы можете просто просматривать сайт, а ZAP автоматически перехватит запросы. Этой функции нет в Burp.
Если вы уже знакомы с Burp, то эта картинка поможет вам понять что к чему.
В этой работе мы сделаем следующее:
Автоматическое сканирование
Брутфорс директорий
Аутентифицированное сканирование
Брутфорс страницы входа
Установка расширений ZAP
Тестирование мы будем проводить на машине Damn Vulnerable Web Application (DVWA)
Last updated