Amaliy ish -13 Mavzu: owasp zap dasturi yordamida tizimni xavfsizlikka testlash. Ishdan maqsad



Download 391,91 Kb.
Sana30.05.2022
Hajmi391,91 Kb.
#621023
Bog'liq
13-praktika


Amaliy ish -13
Mavzu: OWASP ZAP dasturi yordamida tizimni xavfsizlikka testlash.
Ishdan maqsad: OWASP ZAP dasturi yordamida tizimni xavfsizlikka testlash ko‘rikmasini shakllantirish.
Nazariy qism
Xavfsizlik testlari asoslari
Dasturiy ta'minot xavfsizligi testi - bu tizim va uning ma'lumotlarining xavfsizlik xavflari va zaifliklarini aniqlash uchun tizimni baholash va sinovdan o'tkazish jarayoni. ZAP testni zaifliklarni aniqlash va ulardan foydalanishga urinish sifatida belgilaydi.
Xavfsizlik testi ko'pincha sinovdan o'tkazilayotgan zaiflik turiga yoki sinov turiga qarab amalga oshiriladi. Umumiy testlash turlari:
Zaiflikni baholash - tizim xavfsizlik muammolari uchun skanerdan o'tkaziladi va tahlil qilinadi.
Penetratsiya testi - tizim zararli hujumchilar tomonidan tahlil va hujumdan o'tadi.
Runtime testi - tizim oxirgi foydalanuvchi tomonidan tahlil va xavfsizlik sinovidan o'tadi.
Kod analizi- tizim kodi batafsil ko'rib chiqiladi va xavfsizlikning zaif tomonlarini aniqlash uchun tahlil qilinadi.
ZAP haqida qisqacha ma’lumot
Zed Attack Proxy (ZAP) - bu kirib boorish testini (penetration testing) amalga oshirish uchun ochiq loyihasi bo‘lib, OWASP kompaniyasi mahsuloti hisoblanadi. ZAP veb-ilovalarni tahdidlarda testlash uchun maxsus ishlab chiqilgan.
ZAPni “man-in-the-middle proxy” deb nomlanuvchi hokum turi deb tushunsa bo‘ladi. U testerning brauzeri va veb-ilovasi o'rtasida joylashgan bo'lib, u brauzer va veb-ilova o'rtasida yuborilgan xabarlarni ushlab turishi va tekshirishi, kerak bo'lganda tarkibni o'zgartirishi va keyin ushbu paketlarni belgilangan joyga yo'naltirishi mumkin.

13.1 – rasm. ZAP dasturi mantiqiy joylashuvi.
Agar boshqa tarmoq proksi-serveri allaqachon ishlatilayotgan bo'lsa, ko'pgina korporativ muhitlarda bo'lgani kabi, ZAP ushbu proksi-serverga ulanish uchun sozlanishi mumkin.

13.2 – rasm. ZAP dasturi proxy serveri mantiqiy joylashuvi.
ZAP turli kvalifikatsiya darajalari uchun funksional imkoniyatlar taqdim qiladi, dasturchidan tortib xavfsizlik testerigacha. ZAP har bir asosiy operatsion tizim va Docker uchun versiyalarga ega, shuning uchun bitta operatsion tizim bilan bog'lanib qolinmaydi.
Amaliy qism
ZAP Desktop UI quyidagi elementlardan iborat:

  1. Menyu paneli - ko'plab avtomatlashtirilgan va qo'lda ishlaydigan vositalarga kirishni ta'minlaydi.

  2. Toolbar paneli - eng ko'p ishlatiladigan xususiyatlarga oson kirishni ta'minlaydigan tugmalarni o'z ichiga oladi.

  3. Tree Windows - saytlar daraxti va skriptlar daraxtini ko'rsatadi.

  4. Ish maydoni oynasi - so'rovlar, javoblar va skriptlarni ko'rsatadi va ularni tahrirlash imkonini beradi.

  5. Ma'lumot oynasi - avtomatlashtirilgan va qo'lda ishlaydigan toollarning tafsilotlarini ko'rsatadi.

  6. Footer- topilgan tahdidlarning qisqacha mazmunini va asosiy avtomatlashtirilgan toollar holatini ko'rsatadi.


13.3 – rasm. ZAP dasturi ishchi oynasi.
Avtomatlashtirilgan skanerlashni ishga tushirish
ZAP-dan foydalanishni boshlashning eng oson yo'li Quick Start yorlig'i orqali amalga oshiriladi. Quick start - bu ZAP qo'shimchasi bo'lib, siz ZAP o'rnatganingizda avtomatik ravishda qo'shiladi.
Quick start avtomatik skanerlashni ishga tushirish uchun:

  1. ZAP-ni ishga tushiring va ish maydoni oynasining Quick start yorlig'ini bosing;

  2. Katta avtomatlashtirilgan skanerlash tugmasini bosing;

  3. Hujum qilish uchun URL matn maydoniga hujum qilmoqchi bo'lgan veb-ilovaning to'liq URL manzilini kiriting;

  4. Hujum tugmasini bosing.


13.3 – rasm. ZAP dasturi avtomatik skanerlash bo‘limi.
Tanlanga saytga hujum uyushtirilgandan so‘ng dasturning footer qismida hujum natijalarini ko‘rish mumkin.

13.3 – rasm. ZAP dasturi ogohlantirishlar ro‘yxati.
Ogohlantiruvchi xabar ustiga ikki marta sichqonchaning chap tugmasi bosilgandan so‘ng to ‘liq ma’lumotni olish mumkin.

13.3 – rasm. ZAP dasturi ogohlantirish yozuvining umumiy ko‘rinishi.
Topshiriq
Berilgan variant bo‘yicha web sahifalar tahdidlarga nisbatan kamchiliklarini aniqlash.


https://www.zaproxy.org/docs/desktop/start/features/addons/
Download 391,91 Kb.

Do'stlaringiz bilan baham:



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish