By Mike
網站對於大家來說,鐵定是非常熟悉的東西。透過網站可以查資料、網購或追劇,甚至正在閱讀這篇文章的你,可能也是使用網站在閱讀,這些網站都是由工程師辛苦地開發完成。然而這些網站是不是真的安全?當中是否有漏洞?資料的傳輸是否有做好保護?若工程師沒有一定的資安背景,可能在開發網站的過程中不一定會考慮這些細節。這時,就可以利用一些工具來幫助開發人員針對網站做簡易的檢測,來發現其中潛藏的弱點。檢測工具林林總總,而今天的主角「OWASP Zed Attack Proxy(ZAP)」便是其中一員。OWASP ZAP是一套針對不熟悉滲透測試的人員所設計的軟體,其簡易的操作介面可讓開發或測試人員判斷網站是否安全。在我們介紹ZAP的功能與特色前,先簡單地科普一下OWASP這個組織。
OWASP
OWASP全名為Open Web Application Security Project,它是一個非營利的線上社群,主要針對網頁上各種資安漏洞議題進行相關研究。他們於網頁應用程式安全領域提供了許多不同的文章、技術、文件及工具,例如:被眾多政府或民間機構認可的指標OWASP Top 10、用於學習漏洞測試的WebGoat,以及OWASP ZAP。
ZAP
ZAP如前面所說,它能用於進行網站的滲透測試,判斷是否存在可被利用的漏洞,進而確保網站的安全性。而為什麼會說它可以讓一般開發人員用來測試網站的安全性呢?一切都要歸功於它所擁有的功能-自動化弱點掃描。在ZAP中,使用者只要輸入欲檢測的目標網址,它就會自動化掃描出網站中存在的弱點,並提供哪些頁面存在哪些類型的漏洞,使用者可根據掃描結果進行弱點修復。除此之外,開源且免費亦是它吸引人的特色之一,對於非經常執行弱點掃描的企業或人員來說,商用軟體的授權費用亦是額外的負擔,因此免費的ZAP便受到一般開發人員的青睞。
不只有自動化弱點掃描與開源免費的特色,ZAP同樣也包含了許多常用的功能,如下:
- 代理伺服器攔截:可用於攔截網路傳輸的封包,以確認網站在傳遞資料時是否具有足夠的保護。
- 動態SSL憑證:可自行產生SSL使用的憑證,在加入憑證後才可針對HTTPS類型網站進行代理伺服器封包攔截。【延伸閱讀:HTTPS是什麼?】
- 網路爬蟲:用於爬搜網站中的目錄,從頁面中的連結去找出所有目錄,在進行測試時可以快速統整出網站架構。
- 強制瀏覽:同樣用於找出網站中的目錄,依照目錄字典檔去測試網站是否存在特定頁面,與網路爬蟲最大的差別為,網路爬蟲只會找出所有可以從網頁中點擊超連結進入的頁面,而強制瀏覽則是僅測試字典檔中的路徑。
- 連接埠掃描:針對目標網站主機的連接埠進行掃描,找出主機已開啟哪些連接埠,以用於判斷是否開放非必要或不安全的連線途徑。
- 暴力破解:可根據字典檔對輸入欄位進行自動化填入,可用於登入口測試是否存在常見帳號與弱密碼。【延伸閱讀:密碼的破解與防禦】
除了上述功能以外,ZAP還有許多特色與功能提供給使用者,像是支援多種程式語言、可下載擴充功能、提供Restful API串接等。簡單來說,OWASP Zed Attack Proxy是一個工具組合包,它集眾多常用的功能於一身,對於未具備資安技術的開發人員來說,也能輕易上手。
參考資料
- OWASP,“OWASP ZAP Zed Proxy Attack”,https://owasp.org/www-project-zap/
- Alison Cheang,”網頁滲透測試工具─OWASP ZAP”,http://www.manetic.org/index.php?option=com_content&id=4216:owasp-zap&Itemid=301&lang=en
- 網路攻防戰,“工具:OWASP Zed Attack Proxy (ZAP) Project”,https://www.facebook.com/netwargame/posts/418871868161574/