ZAP

Siehe auch

Der OWASP Zed Attack Proxy (ZAP) ist ein freies, quelloffenes, in Java geschriebenes Tool für Penetrationstests, das unter dem Dach des Open Web Application Security Project (OWASP) gepflegt wird. ZAP wurde speziell für das Testen von Webanwendungen entwickelt.

Im Kern handelt es sich bei ZAP um einen so genannten „Man-in-the-Middle-Proxy“. Er steht zwischen dem Browser des Testers und der Webanwendung, so dass er die zwischen dem Browser und der Webanwendung gesendeten Nachrichten abfangen und untersuchen, den Inhalt bei Bedarf ändern und diese Pakete dann an das Ziel weiterleiten kann. Er kann sowohl als eigenständige Anwendung als auch als Daemon-Prozess eingesetzt werden.

Auf einem Minimal-Server ohne GUI (Headless) lässt sich ZAP nur im Daemon-Mode betreiben. Seine ganze Pracht entfaltet ZAP in einem GUI-Environment.

Es werden unter anderem folgende Tests durchgeführt:

  • Cross-Site-Scripting (XSS)

  • SQL-Injections

  • ungeschützte Verzeichnisse

  • Auslesen von internen Dateien

  • Pufferüberläufe

Bei einem erfolgreichen Angriff lässt sich eine Webshell hochladen.

Links

Installation

dnf -y install epel-release
dnf -y install java wget tar

# POSIX shell script executable (binary data)
VER1=2.11.1
VER2=2_11_1
wget "https://github.com/zaproxy/zaproxy/releases/download/v$VER1/ZAP_$VER2_unix.sh"
chmod +x ZAP_*_unix.sh

# run this as root:
./ZAP_*_unix.sh

Start Headless:

zap.sh -daemon

Built on 2022-06-03