Amaliy ish -13 Mavzu: OWASP ZAP dasturi yordamida tizimni xavfsizlikka testlash.
Ishdan maqsad: OWASP ZAP dasturi yordamida tizimni xavfsizlikka testlash ko‘rikmasini shakllantirish. Nazariy qism Xavfsizlik testlari asoslari Dasturiy ta'minot xavfsizligi testi - bu tizim va uning ma'lumotlarining xavfsizlik xavflari va zaifliklarini aniqlash uchun tizimni baholash va sinovdan o'tkazish jarayoni. ZAP testni zaifliklarni aniqlash va ulardan foydalanishga urinish sifatida belgilaydi.
Xavfsizlik testi ko'pincha sinovdan o'tkazilayotgan zaiflik turiga yoki sinov turiga qarab amalga oshiriladi. Umumiy testlash turlari:
Zaiflikni baholash - tizim xavfsizlik muammolari uchun skanerdan o'tkaziladi va tahlil qilinadi.
Penetratsiya testi - tizim zararli hujumchilar tomonidan tahlil va hujumdan o'tadi.
Runtime testi - tizim oxirgi foydalanuvchi tomonidan tahlil va xavfsizlik sinovidan o'tadi.
Kod analizi- tizim kodi batafsil ko'rib chiqiladi va xavfsizlikning zaif tomonlarini aniqlash uchun tahlil qilinadi.
ZAP haqida qisqacha ma’lumot Zed Attack Proxy (ZAP) - bu kirib boorish testini (penetration testing) amalga oshirish uchun ochiq loyihasi bo‘lib, OWASP kompaniyasi mahsuloti hisoblanadi. ZAP veb-ilovalarni tahdidlarda testlash uchun maxsus ishlab chiqilgan.
ZAPni “man-in-the-middle proxy” deb nomlanuvchi hokum turi deb tushunsa bo‘ladi. U testerning brauzeri va veb-ilovasi o'rtasida joylashgan bo'lib, u brauzer va veb-ilova o'rtasida yuborilgan xabarlarni ushlab turishi va tekshirishi, kerak bo'lganda tarkibni o'zgartirishi va keyin ushbu paketlarni belgilangan joyga yo'naltirishi mumkin.
13.1 – rasm. ZAP dasturi mantiqiy joylashuvi.
Agar boshqa tarmoq proksi-serveri allaqachon ishlatilayotgan bo'lsa, ko'pgina korporativ muhitlarda bo'lgani kabi, ZAP ushbu proksi-serverga ulanish uchun sozlanishi mumkin.
13.2 – rasm. ZAP dasturi proxy serveri mantiqiy joylashuvi.
ZAP turli kvalifikatsiya darajalari uchun funksional imkoniyatlar taqdim qiladi, dasturchidan tortib xavfsizlik testerigacha. ZAP har bir asosiy operatsion tizim va Docker uchun versiyalarga ega, shuning uchun bitta operatsion tizim bilan bog'lanib qolinmaydi.
Amaliy qism ZAP Desktop UI quyidagi elementlardan iborat:
Menyu paneli - ko'plab avtomatlashtirilgan va qo'lda ishlaydigan vositalarga kirishni ta'minlaydi.
Toolbar paneli - eng ko'p ishlatiladigan xususiyatlarga oson kirishni ta'minlaydigan tugmalarni o'z ichiga oladi.
Tree Windows - saytlar daraxti va skriptlar daraxtini ko'rsatadi.
Ish maydoni oynasi - so'rovlar, javoblar va skriptlarni ko'rsatadi va ularni tahrirlash imkonini beradi.
Ma'lumot oynasi - avtomatlashtirilgan va qo'lda ishlaydigan toollarning tafsilotlarini ko'rsatadi.
Footer- topilgan tahdidlarning qisqacha mazmunini va asosiy avtomatlashtirilgan toollar holatini ko'rsatadi.
13.3 – rasm. ZAP dasturi ishchi oynasi.
Avtomatlashtirilgan skanerlashni ishga tushirish ZAP-dan foydalanishni boshlashning eng oson yo'li Quick Start yorlig'i orqali amalga oshiriladi. Quick start - bu ZAP qo'shimchasi bo'lib, siz ZAP o'rnatganingizda avtomatik ravishda qo'shiladi.
Quick start avtomatik skanerlashni ishga tushirish uchun:
ZAP-ni ishga tushiring va ish maydoni oynasining Quick start yorlig'ini bosing;
Katta avtomatlashtirilgan skanerlash tugmasini bosing;
Hujum qilish uchun URL matn maydoniga hujum qilmoqchi bo'lgan veb-ilovaning to'liq URL manzilini kiriting;
Hujum tugmasini bosing.
13.3 – rasm. ZAP dasturi avtomatik skanerlash bo‘limi.
Tanlanga saytga hujum uyushtirilgandan so‘ng dasturning footer qismida hujum natijalarini ko‘rish mumkin.
13.3 – rasm. ZAP dasturi ogohlantirishlar ro‘yxati.
Ogohlantiruvchi xabar ustiga ikki marta sichqonchaning chap tugmasi bosilgandan so‘ng to ‘liq ma’lumotni olish mumkin.
13.3 – rasm. ZAP dasturi ogohlantirish yozuvining umumiy ko‘rinishi.
Topshiriq Berilgan variant bo‘yicha web sahifalar tahdidlarga nisbatan kamchiliklarini aniqlash.