ZAPWas ist Zed Attack Proxy (ZAP)?

Zed Attack Proxy ist ein sehr umfassendes Open Source Sicherheitstool mit vielen Funktionen. Für diesen Security Scanner gibt es speziell veröffentlichte Schulungen und Seminare. Mit einer unkomplizierten Benutzeroberfläche, mit der Zed Attack Proxy bedient werden kann, ist es auch für Entwickler und Anwendungstester gedacht, die wenig Erfahrung mit einem Penetrationstest haben. Neben der plattformübergreifenden Funktionalität des Tools wurde das User Interface in viele Sprachen übersetzt.

Um welches Werkzeug handelt es sich?

ZAP gehört zur Gruppe der Dynamic Scanning Tools. Angriffsmethoden wie Remote-Aufnahme von Dateien, Cross Site Scripting, SQL-Injektion, Serverseitige Code-Injection, Implementierung von Remote-Betriebssystembefehlen, Externe Umleitung, Pufferüberlauf, Format String Fehler, CRLF-Injektion oder gefälschte Parameter können im Scanmodus getestet werden. Angriffsmethoden können auch um sogenannte Community-Skripte und Add-ons vom ZAP Marketplace erweitert werden.

Zed Attack Proxy dient eher als ergänzendes Tool zum Testen vorhandener Sicherheitsinfrastrukturen und Webanwendungen. Warum entscheiden sich viele Menschen für OWASP ZAP? Dieser Security Scanner richtet sich an Benutzer mit einer Vielzahl von Sicherheitserfahrungen und eignet sich daher hervorragend für Entwickler und Funktionstester, die mit Penetrationstests noch nicht vertraut sind.

Von wem wird das Werkzeug entwickelt?

ZAP aus dem Open Web Application Security Project (OWASP) kann mit Linux, OS X und Windows verwendet werden. Für die Windows- und Linux-Versionen ist Java 7 erforderlich. Die OS X-Datei wird mit Java 7 geliefert. Wenn Sie dies nicht möchten, sollten Sie das plattformübergreifende Paket herunterladen. In ein kontinuierliches Integrationstool wie Jenkins integriert, kann ZAP eine Integrationstestphase oder eine Systemtestphase mit automatischem passivem oder aktivem Scannen unterstützen.

Fachleute können den Security Scanner so konfigurieren, dass automatische Scans im Build über ZAP durchgeführt werden. Eine große Anzahl von Zielen und Angriffsmethoden wird mit diesem Sicherheitstool getestet. Dies geschieht durch Versuch und Irrtum. Daher werden während eines aktiven Angriffs zahlreiche Aufrufe an das Webportal getätigt, um beispielsweise eine XSS-Injektion in variablen Parametern durchzuführen.

Wie ist das Kosten/Lizenzmodell?

Zed Attack Proxy (ZAP) ist eines der weltweit beliebtesten kostenlosen Sicherheitstools und wird von Hunderten internationaler Freiwilliger aktiv unterstützt. ZAP kann dabei helfen, Schwachstellen in einer Web-Applikation automatisch zu finden, während die Anwendungen noch entwickelt und getestet werden.

Funktionsweise

Das ZAP-Tool kann mithilfe einer REST-API gesteuert werden, die den Prozess beim Penetrationstest automatisiert. Diese API bietet Zugriff auf den aktiven Crawler und die Spider. Spider ist eine ZAP-Funktion, mit der eine Webanwendung ihre Pfade und URLs scannen kann, um alle Ziele des Angriffs aufzuzeichnen. Diese entführten URLs können dann mit einem „aktiven Crawl“ angegriffen werden. ZAP erstellt einen Proxyserver zwischen dem Client und Ihrer Site. Während Sie auf der Website navigieren, werden alle Aktionen erfasst und anschließend mit bekannten Methoden auf die Internetseite angegriffen.

ZAP kann als Jenkins-Plugin installiert und so konfiguriert werden, dass auf der Website der Aalen University automatisch passive Scans ausgeführt werden. ZAP überprüft alle HTTP-Anforderungen und -Antworten, die zwischen Server und Client ausgetauscht werden und analysiert sie auf Sicherheitslücken, wenn die Homepage der Aalen University aufgerufen wird. Für die Tests kann ein aktiver und passiver Modus gewählt werden. Beim passiven Modus ändern sich die Anforderungen oder Antworten nicht und die zu testende Website wird nicht beschädigt.

Vor- und Nachteile von diesem Werkzeug

+ Eine große Anzahl von Zielen und Angriffsmethoden wird mit diesem Sicherheitstool getestet
+ Open Source Tools wie der Zed Attack Proxy (ZAP) können verwendet werden, um Sicherheitslücken in Webanwendungen zu erkennen.
+ ZAP kann schnell und einfach installiert werden, beispielsweise wenn Sie die Windows-Version herunterladen.
+ Sie benötigen keinen Agenten auf den zu testenden Servern und müssen keine Änderungen vornehmen.

– Dieses Tool kann jedoch nicht als Ersatz für eine grundlegende Sicherheitsstrategie für Webanwendungen verwendet werden.

Verwandte Begriffe