B
Bad-Dag
Original poster
Здравствуйте, и так начнем!!!
BurpSuite () и OWASP ZAP ( de.google.com/p/zaproxy/wiki/Downloads?tm=2) относятся к одному классу инструментов для тестирования веб-приложений, а именно к классу перехватывающих прокси, и пожалуй являются наиболее известными представителями данного класса. Суть данных инструментов заключается в том, что с помощью них мы можем просматривать, изменять или же останавливать запросы, отправляемые браузером, также данные инструменты включают в себя различный функционал, который призван облегчить для нас поиск различных уязвимостей. Данные инструменты пригодятся нам на каждом этапе тестирования веб-приложений. Стоит отметить также то, что данные инструменты не являются полностью самостоятельными, так как для своей работы они взаимодействуют с нашим браузером, все запросы отправляемые ими проходят через прокси и потому первое, что нам нужно сделать — это настроить браузер на использование прокси. Хотелось бы обратить Ваше внимание на то, что для просмотра вебинаров и тестов необходимо использовать разные браузеры, так как перехватывающие прокси могут помешать трансляции. Все настройки приведены для браузера Firefox, заходим в «Настройки» → «Дополнительные» → выбираем вкладку «Сеть» → нажимаем кнопку «Настроить …» → отмечаем пункт «Ручная настройка сервиса прокси» → в поле «HTTP прокси» вводим 127.0.0.1 → в поле порт вводим 8080 → ставим галочку на «Использовать этот прокси-сервер для всех протоколов», если есть какой-либо текст в поле «Не использовать прокси для», то удаляем его.
Теперь же после настройки браузера нам нужно настроить наши инструменты,
так как они оба используют один и тот же прокси по-умолчанию, а именно 127.0.0.1 и
порт 8080. Для того чтобы использовать их одновременно нам нужно создать
своеобразную цепочку из прокси и браузера: запрос из браузера будет сначала
попадать в OWASP ZAP, после чего он будет перенаправлять запрос в BurpSuite, а уже
BurpSuite будет отправлять запрос на сервер. Благодаря данной цепочке отправляемый
запрос будет доступен сразу обоим инструментам. Настройку необходимо начать с
OWASP ZAP: выбираем меню «Инструменты» и пункт «Параметры …» → выбираем
«Соединение» → в разделе «Использовать цепь прокси» ставим галочку на
«Использовать исходящий прокси-сервер» → в поле «Адрес/имя домена» вводим
127.0.0.1, а поле порт выбираем порт, например, 1009. На этом первоначальная
настройка OWASP ZAP завершена и мы переходим в Burp Suite.
На данном этапе наши настройки практически завершены и мы можем
тестировать с помощью наших инструментов веб-приложения, поддерживающие
HTTP. Стоит правда отметить то, что если попытаемся посетить сайт
поддерживающий HTTPS, например, pentestit.ru, то в нашем браузере мы получим
предупреждение безопасности, так как оба наших инструмента нарушают HTTPS
соединение. Для того чтобы этого не происходило нам нужно добавить сертификаты
Burp Suite и OWASP ZAP в доверенные в нашем браузере. Чтобы получить оба
сертификата для начала введем в адресную строку браузера , в открывшейся
странице выбираем CA Certificate, сохраняем полученный сертификат; теперь
перейдем в OWASP ZAP и воспользуемся меню «Инструменты» и выберем пункт
«Параметры …», выбираем «Динамические SSL-сертификаты», сохраняем
сертификат. Теперь же переходим в браузер: «Настройки» → «Дополнительные» →
«Сертификаты» → нажимаем кнопку «Просмотр сертификатов» → выбираем вкладку
«Центры сертификации» → нажимаем кнопку «Импортировать …» → выбираем наши
сертификаты, для обоих ставя галочку на «Доверять при идентификации веб-сайтов».
Обновив страницу мы более не получаем предупреждения безопасности и теперь мы
можем работать с веб-приложениями, поддерживающими HTTP и HTTPS.
Завершив все настройки стоит проверить наши инструменты в деле на каком-
либо тестовом веб-приложении, например, на bWAPP ().
Всем Спасибо за внимание и потраченное время , Прошу прошения но по не известным мне причинам у меня не вышло вставить картинки для более ясной картины. Но надеюсь admin в скором времени сжалиться и разрешит мне до оформить статью.
BurpSuite () и OWASP ZAP ( de.google.com/p/zaproxy/wiki/Downloads?tm=2) относятся к одному классу инструментов для тестирования веб-приложений, а именно к классу перехватывающих прокси, и пожалуй являются наиболее известными представителями данного класса. Суть данных инструментов заключается в том, что с помощью них мы можем просматривать, изменять или же останавливать запросы, отправляемые браузером, также данные инструменты включают в себя различный функционал, который призван облегчить для нас поиск различных уязвимостей. Данные инструменты пригодятся нам на каждом этапе тестирования веб-приложений. Стоит отметить также то, что данные инструменты не являются полностью самостоятельными, так как для своей работы они взаимодействуют с нашим браузером, все запросы отправляемые ими проходят через прокси и потому первое, что нам нужно сделать — это настроить браузер на использование прокси. Хотелось бы обратить Ваше внимание на то, что для просмотра вебинаров и тестов необходимо использовать разные браузеры, так как перехватывающие прокси могут помешать трансляции. Все настройки приведены для браузера Firefox, заходим в «Настройки» → «Дополнительные» → выбираем вкладку «Сеть» → нажимаем кнопку «Настроить …» → отмечаем пункт «Ручная настройка сервиса прокси» → в поле «HTTP прокси» вводим 127.0.0.1 → в поле порт вводим 8080 → ставим галочку на «Использовать этот прокси-сервер для всех протоколов», если есть какой-либо текст в поле «Не использовать прокси для», то удаляем его.
Теперь же после настройки браузера нам нужно настроить наши инструменты,
так как они оба используют один и тот же прокси по-умолчанию, а именно 127.0.0.1 и
порт 8080. Для того чтобы использовать их одновременно нам нужно создать
своеобразную цепочку из прокси и браузера: запрос из браузера будет сначала
попадать в OWASP ZAP, после чего он будет перенаправлять запрос в BurpSuite, а уже
BurpSuite будет отправлять запрос на сервер. Благодаря данной цепочке отправляемый
запрос будет доступен сразу обоим инструментам. Настройку необходимо начать с
OWASP ZAP: выбираем меню «Инструменты» и пункт «Параметры …» → выбираем
«Соединение» → в разделе «Использовать цепь прокси» ставим галочку на
«Использовать исходящий прокси-сервер» → в поле «Адрес/имя домена» вводим
127.0.0.1, а поле порт выбираем порт, например, 1009. На этом первоначальная
настройка OWASP ZAP завершена и мы переходим в Burp Suite.
На данном этапе наши настройки практически завершены и мы можем
тестировать с помощью наших инструментов веб-приложения, поддерживающие
HTTP. Стоит правда отметить то, что если попытаемся посетить сайт
поддерживающий HTTPS, например, pentestit.ru, то в нашем браузере мы получим
предупреждение безопасности, так как оба наших инструмента нарушают HTTPS
соединение. Для того чтобы этого не происходило нам нужно добавить сертификаты
Burp Suite и OWASP ZAP в доверенные в нашем браузере. Чтобы получить оба
сертификата для начала введем в адресную строку браузера , в открывшейся
странице выбираем CA Certificate, сохраняем полученный сертификат; теперь
перейдем в OWASP ZAP и воспользуемся меню «Инструменты» и выберем пункт
«Параметры …», выбираем «Динамические SSL-сертификаты», сохраняем
сертификат. Теперь же переходим в браузер: «Настройки» → «Дополнительные» →
«Сертификаты» → нажимаем кнопку «Просмотр сертификатов» → выбираем вкладку
«Центры сертификации» → нажимаем кнопку «Импортировать …» → выбираем наши
сертификаты, для обоих ставя галочку на «Доверять при идентификации веб-сайтов».
Обновив страницу мы более не получаем предупреждения безопасности и теперь мы
можем работать с веб-приложениями, поддерживающими HTTP и HTTPS.
Завершив все настройки стоит проверить наши инструменты в деле на каком-
либо тестовом веб-приложении, например, на bWAPP ().
Всем Спасибо за внимание и потраченное время , Прошу прошения но по не известным мне причинам у меня не вышло вставить картинки для более ясной картины. Но надеюсь admin в скором времени сжалиться и разрешит мне до оформить статью.