OWASP Zed Attack Proxy (ZAP) är ett av världens mest populära gratis säkerhetsverktyg. Det kan automatiskt hitta säkerhetsproblem i webbapplikationer och webbsidor. Det är oerhört snabbt och enkelt så det finns inga ursäkter att låta bli.
I sin enklaste form så startar man ZAP och skriver in den URL man vill att den ska attackera och trycker på Attack. Den kommer då använda mängder med kända attackvektorer och försöka utnyttja dem.
Vill man göra lite mer utförliga tester så kan man starta en webbläsare där ZAP lägger sig som en proxy och fångar all kommunikation mellan klient (webbläsare) och webbserver. Klicka runt och använd webbapplikationen så mycket som möjligt eller fokusera på känsliga punkter som inloggning och inmatning av data.
ZAP kommer producera ett antal alerts som man kan sen kan undersöka vidare. Klicka på dem så får man mängder med information om vad det potentiella säkerhetsproblemet består av och hur man kan åtgärda det med länkar till ytterligare information.
Du kommer garanterat få många alerts, men de ska ha en risknivå som är låg eller möjligtvis medium. Ligger man högre än så så bör man verkligen ta tag i problemet genast.
Även om det är ens privata webbplats med lite bilder och text om en själv som är ointressant för de flesta så bryr sig inte de automatiska bot:arna om det. De ser bara ett öppet säkerhetshål och tar sig in där eller så kan det vara godartade bot:ar som accessar sidor för de indexerar webbsidor, typiskt Google och andra sökmotorer och råkar trilla in genom ett säkerhetshål och gör massor med skada. I mina yngre dagar så hade jag skapat ett admin-verktyg till en av mina webbplatser som hade ett allt för dåligt inloggningsskydd vilket gjorde att just en indexeringsbot gick in där och började indexera alla Delete-sidor vilket gjorde att den tömde halva min databas. Ingen större skada skedd då jag lade in en backup, men har man otur så sitter man där utan aktuell backup och förlorar mängder med data.
System och tjänster som uppdaterats sedan förra uppdateringen:
- s04
- Inga ändringar.
Inga kommentarer:
Skicka en kommentar