در این بخش از دوره آموزشی SEC542 از موسسه SANS به آشنایی با ابزارهای تست نفوذ وب می پردازیم.
آشنایی با ابزارهای تست نفوذ وب
برای انجام فرآیند تست نفوذ وب شما به ابزارهای مختلفی نیاز دارید که در انتخاب و هنگام استفاده از آن ها باید مراقب باشید که استفاده از آن ها صدمه ای به برنامه کاربردی وب نرساند و آن را دچار اختلال نکند. معمولا باید ابزارهای مورد استفاده شما در چهار دسته زیر قرار گیرند:
- پلتفرم حمله مورد استفاده برای تست نفوذ – attack platform
- اسکنر امنیتی برنامه تحت وب – Scanners
- مرورگر مناسب برای تست – Browsers
- ابزارهای پروکسی وب – Intercept Proxy
Interception Proxies
یکی از ابزارهای مورد نیاز برای تست نفوذ برنامه های تحت وب، ابزارهای Intercept Proxy می باشد. بکارگیری این ابزارها بسیار بهتر از استفاده مرورگرها به تنهایی می باشد. به کمک ابزارهای Intercept Proxy می توان محتویات درخواست ها و پاسخ های آن را در وب مشاهده نمود. این ابزارها بین مرورگر شما و برنامه تحت وب قرار می گیرد و کلیه اطلاعات رد و بدل شده را مانیتور می نماید.
معمولا این ابزارها بر روی پورت 8080 به گوش شده و شما برای دریافت اطلاعات باید آدرس 127.0.0.1به همراه پورت 8080 را بر روی مرورگر خود تنظیم نمایید. بدین وسیله کلیه ترافیک ارسال شده از مرورگر به سمت برنامه تحت وب، از ابزار عبور خواهد نمود و شما قادر به مشاهده، ضبط و حتی تغییر آن می باشید.
دو نمونه از ابزارهایی که بدین منظور از آن استفاده می شود، ابزارهای Zed Attack Proxy یا ZAP و Burp Suite می باشد. شما می توانید این دو ابزار را از طریق لینک های زیر دانلود نمایید:
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://portswigger.net/burp
یکی از مشکلاتی که در هنگام استفاده از Intercept proxy ها با آن روبرو می شویم، استفاده از پروتکل HTTPS توسط سایت است. در این حالت ما با یک پیام هشدار مربوط به Certificate مواجه می شویم. البته برای حل این مشکل باید Certificate ابزار پروکسی را به روی مرورگر خود اضافه نماییم.
Fiddler
یکی از ابزارهای دیگر که به عنوان Intercept Proxy می توان از آن استفاده نمود، ابزار Fiddler می باشد. این ابزار در واقع یک Web Debugging Proxy بوده که امکان ردیابی ترافیک بین سیستم شما و وب سرور را دارد. ابزار Fiddler رایگان بوده و توسط شرکت Telerik در سپتامبر 2012 خریداری شد.
Fiddler بر روی سیستم های مایکروسافتی اجرا شده و از پلاگین های مختلف نیز پشتیبانی می کند که در فرآیند ارزیابی بسیار مفید می باشند. Watcher یک ابزار تست امنیتی وب به عنوان یک پلاگین برای Fiddler است. این پلاگین به دنبال تنظیمات کوکی، تنظیمات، نشت اطلاعات و سایر مشکلات مربوط به برنامه های وب می گردد و آن ها را شناسایی می کند.
پلاگین دیگر ViewState Viewver است که برای مشاهده و دستکاری ViewState طراحی شده است.
x5s نیز یک پلاگین دیگری است که به منظور تست Encoding و تغییرات کاراکترها (Character Transformation) برای یافتن مکان های مربوط به آسیب پذیری XSS از آن استفاده می شود.
جهت دانلود ابزارهای بالا می توانید به لینک های زیر مراجعه نمایید:
https://www.telerik.com/download/fiddler
https://archive.codeplex.com/?p=websecuritytool
https://archive.codeplex.com/?p=xss
https://labs.neohapsis.com/2009/08/03/viewstateviewer-a-gui-tool-for-deserializingreserializing-viewstate/
ZAP
ZAP یکی از ابزارهایی است که از Paros Proxy منشعب شده است. ابزار ZAP با زبان جاوا نوشته شده است و به همین دلیل در هر سیستم عاملی قابلیت اجرا دارد. ZAP به مدت طولانی در مقایسه با ابزار Burp Suite کمتر شناخته شده می شد اما این ابزار هم دارای ویژگی هایی است که از جمله آن رایگان بودن ZAP می باشد.
در حال حاضر ویژگی های ZAP بهبود یافته و مهمتر از همه Fuzzer مربوط به آن است که بسیار قدرتمند شده است. ابزار ZAP به عنوان یک پروژه Flagship برای OWASP می باشد. لازم به ذکر است که نشان OWASP Flagship به پروژه هایی اعطاء می گردد که ارزش استراتژیک برای OWASP داشته و امنیت برنامه را به صورت کلی نشان می دهند.
جهت دانلود ابزار ZAP می توانید به لینک زیر مراجعه نمایید:
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
