Tool-Tipp: OWASP Zed Attack Proxy (ZAP)

Sicherheit für Web­an­wen­dungen mit Zed Attack Proxy

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Das Open-Source-Tool „Zed Attack Proxy“ (ZAP) gehört zum „Open Web Application Security Project“ (OWASP) und ermöglicht automatisiere Securityscans für Webanwendungen.
Das Open-Source-Tool „Zed Attack Proxy“ (ZAP) gehört zum „Open Web Application Security Project“ (OWASP) und ermöglicht automatisiere Securityscans für Webanwendungen. (© Imillian - stock.adobe.com)

Administratoren oder Entwickler, die Webanwendungen betreiben, kämpfen ständig mit Sicherheitslücken. Das Open-Source-Tool „Zed Attack Proxy“ (ZAP) gehört zum „Open Web Application Security Project“ (OWASP) und ermöglicht automatisiert Web-Apps auf Sicherheitslücken zu überprüfen und Angriffe durchzuführen.

Das Open-Source-Tool Zed Attack Proxy (ZAP) bietet Sicherheitsanalysen und Tests für Webangriffe. ZAP gehört zum Open-Source-Projekt „Open Web Application Security Project (OWASP)“. Vorteil von ZAP ist die schnelle Installation. Das Tool steht außerdem für Windows, macOS X und Linux zur Verfügung. Auf den Servern, die getestet werden, sind keine Agenten notwendig. Die Tests werden über das Netzwerk durchgeführt. Dabei kann es sich auch um PCs handeln. ZAP benötigt die 64-Bit-Version von Java. Der Download hat in etwa eine Größe von 111 MB. Zusätzlich zu ZAP wird auf dem Rechner eine aktuelle Java-Umgebung als 64-Bit-Version benötigt. Auch dieses hat eine Größe von etwa 100 MB.

Nach der Ausführung der Installationsdatei ist ZAP sehr schnell installiert. Danach startet die grafische Oberfläche. Auf der Registerkarte „Schnellstart“ wird die URL der Webanwendung angegeben, die überprüfen werden soll. Durch einen Klick auf „Angriff“ werden die Tests gestartet. Anschließend startet ZAP und zeigt die Ergebnisse an. Sobald ein Test gestartet wurde, ist der Status des Scanvorgangs unten im Fenster zu sehen. Die Ergebnisse des Scanvorgangs sind ebenfalls unten im Fenster. Die wichtigsten Einstellungen von ZAP sind über „Tools\Optionen“ zu finden Die wichtigsten Funktionen des Tools sind der folgenden Übersichtstabelle zu entnehmen.

Wie man das Open-Source-Tool Zed Attack Proxy installiert und mit ihm Security Scans durchführt, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Die wichtigsten Funktionen von ZAP im Überblick

Funktion Beschreibung
Intercepting Proxy ZAP ermöglicht alle Anforderungen, die an eine Web-App gestellt werden und alle Antworten abzufangen und zu prüfen. Unter anderem können dadurch auch AJAX calls abgefangen werden.
Spider Spider können neue URLs auf Webseiten entdecken und aufrufen. Der Spider in ZAP überprüft alle gefundenen Links auf Sicherheitsprobleme.
Automatischer, aktiver Scan ZAP kann automatisiert Web-Apps auf Sicherheitslücken überprüfen und Angriffe durchführen. Diese Funktion dürfen nur für eigene Webanwendungen genutzt werden.
Passiver Scan Mit passiven Scans werden Webanwendungen überprüft, aber nicht angegriffen.
Forced Browse ZAP kann testen, ob bestimmte Verzeichnisse oder Dateien auf dem Webserver geöffnet werden können.
Fuzzing Mit dieser Technik werden ungültige und unerwartete Anfragen an den Webserver gesendet
Dynamic SSL Certificates ZAP kann SSL-Anfragen entschlüsseln. Dazu verwendet das Tool den Man-in-the-Middle-Ansatz.
Smartcard und Client Digital Certificates Support ZAP kann Smartcard-gestützte Webanwendungen testen, sowie TLS-Handshakes prüfen, zum Beispiel zwischen Mail-Servern
WebSockets Mit WebSockets lassen sich auch Anwendungen testen, die eine einzige TCP-Verbindung für die bidirektionale Kommunikation nutzen.
Skript-Unterstützung ZAP unterstützt verschiedene Skripte, zum Beispiel ECMAScript, Javascript, Zest, Groovy,  Python, Ruby und weitere.
Plug-n-Hack Diese Technologie wurde von Mozilla entwickelt, um festzulegen, wie Sicherheitstools wie ZAP mit Browsern zusammenarbeiten können, um optimale Sicherheitstests durchzuführen.
Powerful REST based API Webentwickler können eine eigene grafische Oberfläche für ZAP entwickeln, um das Tool dem eigenen Unternehmen anzupassen.
Add-Ons und Erweiterungen In ZAP lassen sich Erweiterungen integrieren, sowie Vorlagen für bestimmte Tests. Dazu steht ein eigener Shop zur Verfügung

Webanwendungen auf Anfälligkeit für Fuzzing testen

Fuzzing und Spider-Angriffen sind sehr verbreitet. Einfach ausgedrückt versucht der Angreifer unerwarteten Code auf den Webserver zu übertragen, ähnlich wie bei Cross Site Scripting (XSS). Mit ZAP lassen sich solche Angriffe überprüfen.

Durch einen Klick auf der linken Seite auf einen durchgeführten Aufruf, ist auf der rechten Seite die Registerkarte „Anfrage“ zu sehen. Diese zeigt den Datenverkehr, den der Browser an den Server geschickt hat. Im unteren Feld sind die eingegebenen Daten des Anwenders zu sehen, teilweise mit Anmeldenamen und Kennwort in Klartext.

Um auf Basis dieser Daten einen Fuzzing-Angriff zu starten, wird mit der rechten Maustaste auf einen der angezeigten Werte geklickt, zum Beispiel den Wert für „Username“ Durch Auswahl von „Fuzzen“ beginnt der Angriff. Eine Unterart von Fuzzing ist das Angreifen von Datenbanken, die an Webanwendungen angebunden sind. Auch diese lassen sich testen.

Spider-Angriffe auf Webanwendungen entdecken

Ebenfalls verbreitet sind Spider-Angriffe auf Webseiten. Dabei versucht der Angreifer alle URLs einer Webanwendung zu erreichen und Sicherheitslücken zu finden. Solche Spider-Angriffe können mit ZAP getestet werden:

  • 1. Starten Sie ZAP für den Test und rufen Sie in Ihrem Browser die Webseite auf, die Sie testen wollen. Achten Sie aber darauf, dass als Proxy im Browser der ZAP-Rechner eingetragen ist.
  • 2. Wurde die Seite geöffnet, finden Sie diese wieder in ZAP auf der linken Seite.
  • 3. Klicken Sie die Seite an, die Sie spidern wollen und öffnen Sie im unteren Bereich die Registerkarte Spider.
  • 4. Wählen Sie anschließen die Webseite aus und starten den Scanvorgang. Sie können dazu auch den Menüpunkt „New scan“ verwenden.

Anschließend startet ZAP den Spider-Angriff. Die Link-Tiefe des Spider-Angriffes wird über „Tools\Optionen“ im Bereich „Spider“ gesteuert.

Versteckte Verzeichnisse in Web Apps herausfinden, ist ein weiteres Ziel von Hackern. In solchen Verzeichnissen liegen oft wichtige Daten wie Logfiles und Konfigurationsdateien. ZAP kann solche versteckten Verzeichnisse nach Sicherheitslücken durchsuchen.

Wie man das Open-Source-Tool Zed Attack Proxy installiert und mit ihm Security Scans durchführt, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Ergänzende Tools und Alternativen zu ZAP

Geht es um die Sicherheitsanalyse von Netzwerken, sollten sich Administratoren die Live-CD Deft-Linux ansehen. Auf der Live-DVD befinden sich Sicherheitsprogramme, mit der sich Netzwerke auf Schwachstellen untersuchen lassen.

Der Nachfolger der bekannten BackTrack-Sicherheits-Linux-Distributionen ist Kali. Kali Linux wird von den gleichen Entwicklern zur Verfügung gestellt, wie Backtrack. Auch bei dieser Linux-Distribution handelt es sich um eine Live-Sicherheits-DVD. Vorteil von Kali ist, dass Tools, wie OpenVAS, bereits integriert sind.

Mit Autopsy Forensic Browser lassen sich Datenträger und Verzeichnisse untersuchen. In der Programmgruppe Network Forensics sind Tools wie Xplico, Wireshark, Nmap und Ettercapum zu finden. Damit lassen sich zum Beispiel Angriffe mit "man in the middle" simulieren.

Forensische Analyse von Datenträgern

Tool-Tipp: The Sleuth Kit und Autopsy

Forensische Analyse von Datenträgern

15.05.18 - Mit dem Open-Source-Forensik-Tool „The Sleuth Kit“ und dem HTML-Frontend „Autopsy“ lassen sich externe und interne Datenträger forensisch analysieren. Das Tool unterstützt die wichtigsten Dateiformate und kann gelöschte Dateien wiederherstellen. Es dient allerdings weniger der Datenrettung, sondern vor allem der forensischen Analyse. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45374960 / Security-Testing)