当前位置：网站首页>使用 Zap 和 W3af 进行 Web 应用程序漏洞评估

使用 Zap 和 W3af 进行 Web 应用程序漏洞评估

2022-08-08 05:16:00 【allway2】

OWASP 社区

Open Web Application Security Program (OWASP) 是一个非营利性在线组织，专注于传播有关企业应用程序安全问题的信息和意识，并为企业应用程序安全评估创建指南和工具。

在过去的几年里，它已成为 IT 安全的参考社区之一，分享有关该主题的最佳实践和免费文档。

它最受欢迎的文档之一是“十大 Web 应用程序漏洞”，它列出并描述了 Web 应用程序最关键的安全风险，我基于该文档进行了分析。

评估范围

考虑到这一点，我想分析网站漏洞，包括被动攻击和主动攻击。

被动攻击用于通过检查其页面源代码、搜索有用的关键字、分析流量和网站位置来收集有关网站的信息。他们只会在不影响其功能的情况下向目标网站生成虚假请求。

尽管被动扫描本质上并不危险，但建议与 parsimonia 一起使用，因为它可能导致目标网站处理额外的请求数量，并导致攻击者的临时/永久阻止。出于我的学习目的，我实施的被动攻击不符合这两种情况。

另一方面，对网站的主动攻击可能会损害其功能。因此，我建立了一个自己的目标网站来测试它，尝试复制每个 OWASP 10 漏洞，以便分析它们并了解它们通常来自哪里以及如何缓解它们。

为此，在市场上可用的免费/开源工具中，我选择了两个最广泛和最完整的安全评估工具：ZAP 和 W3af。

ZAP

ZAP（Zed Attack Proxy - zaproxy.org）是许多与软件安全相关的 OWASP 产品之一。

它充当用户浏览器和网络之间的代理，因此它既可以拦截请求/响应消息期间交换的数据包流量，也可以直接攻击目标应用程序。除了代理之外，它还提供了大量的功能，例如模糊器、蛮力、蜘蛛等。因此，它对我的目的来说是一个有用的工具，因为它可以用来执行 Web 应用程序的渗透测试和漏洞评估，引入了一个强大且易于使用的工具。它是开源的，并在过去几年中获得了用户的各种奖项。

有关 ZAP 用法的更多详细信息，请参见此处。

W3af

W3af（Web 应用程序附加和审计框架 - w3af.org）与 ZAP 类似，是一个开源工具，具有丰富的功能集和活跃的社区。

它基于三个主要模块：

核心，协调插件和流程的工具的核心部分
用户界面，允许用户交互和配置工具
插件，分组为列表（发现、审计、grep、攻击、输出、mangle、逃避、蛮力），可以启用并用于发现漏洞。

用户还可以通过创建新的自定义插件来扩展 W3af。

更多关于 W3af 的细节可以在这里找到。

评估和发现

被动扫描

被动分析有助于通过了解存在哪些漏洞以及可以从您的网站嗅探哪些信息来保护您的网站。除了从安全角度来看，它还可以通过向目标网站发送大量请求来解决性能问题。

在本次评估中，被动分析是通过向流行且强大的网站发送少量请求来执行的，其唯一目的是检查工具的潜力以及它们可以收集哪些信息。

这些工具引发的漏洞都是次要的或信息丰富的。

仅举几例提出的：

未设置 X-Frame-Options 标头。X-Frame-Options 可用于响应的 HTTP 标头中，以指示是否应允许浏览器在frame中呈现页面。此漏洞可用于点击劫持攻击，在这种攻击中，用户被刺激点击与他从网站上看到的不同的按钮，并被迫执行意外操作。
没有 HttpOnly 标志的 Cookie 集。HttpOnly 是包含在 Set-Cookie HTTP 响应标头中的附加标志，可防止通过客户端脚本访问 cookie，并且在跨站点脚本 (XSS) 的情况下，浏览器会将它们隐藏给第三方。
浏览器中的密码自动完成。具有本地访问权限的攻击者可以从浏览器缓存中获取文本密码，因此应禁用密码自动完成，例如，通过Html 输入标签的选项自动完成。
缺少 X-Content-Type-Options 标头。HTTP 'X-Content-Type-Options' 响应标头可防止浏览器通过 MIME 嗅探远离声明的内容类型的响应，如果服务器未正确返回它，则网站可能面临 XSS 攻击的风险。