ZAProxy

Was ist ZAProxy?

Das Open-Source-Werkzeug ZAP (Zed Attack Proxy) dient dazu, Schwachstellen in Web-Anwendungen zu finden. Sicherheitsl├╝cken stellen ein gro├čes Problem dar, mit dem sich Entwickler und Administratoren konfrontiert sehen. ZAProxy ├╝berpr├╝ft solche Applikationen fortw├Ąhrend auf bestehende L├╝cken. Penetrationstests und simulierte Angriffe dienen dazu, potenzielle Schwachpunkte offenzulegen.

Allgemeines zum Open-Source-Tool Zed Attack Proxy

Das Open-Source-Tool geh├Ârt zum Open Web Application Security Projekt oder OWASP. Administratoren finden mit diesem Werkzeug eine M├Âglichkeit der automatischen Sicherheits├╝berpr├╝fung von Web-Apps. Das Tool basiert auf Paros Proxy und richtet sich insbesondere an Entwickler und Nutzer, die bisher wenig Erfahrung mit Sicherheitstests oder Penetrationstests haben. Gleichzeitig ist es auch f├╝r die professionelle Anwendung geeignet. ZAP gilt als vergleichsweise einfache L├Âsung, l├Ąsst sich schnell installieren und ist mit vielen Betriebssystemen kompatibel (Windows, macOS X und Linux).

Funktionalit├Ąt im ├ťberblick

ZAProxy bietet Anwendern eine Reihe von Funktionen, die vom Abfangen und Pr├╝fen der Web-Apps ├╝ber den aktiven Scan bis zur Entschl├╝sselung von SSL-Anfragen reicht. Mit der Funktion Intercepting Proxy erm├Âglicht das Tool es, s├Ąmtliche Anfragen und Antworten einer Web-App abzufangen, beispielsweise Ajax-Calls. Diese werden anschlie├čend ├╝berpr├╝ft.

Tipp

Wenn Sie noch Fragen bez├╝glich Ajax haben, dann k├Ânnen Sie gerne den jeweiligen Glossar dazu besuchen und sich ├╝ber das Thema informieren.

Mit der Spider-Funktion lassen sich neue URLS auf Webseiten offenlegen und aufrufen. Anwender k├Ânnen mit dem ZAP-Spider s├Ąmtliche gefundenen Links auf Sicherheitsl├╝cken oder -probleme ├╝berpr├╝fen. Mit dem aktiven Scan f├╝hrt ZAP eine automatische ├ťberpr├╝fung der Web-Anwendungen auf Sicherheitsl├╝cken durch. Weiterhin verf├╝gt ZAP auch ├╝ber die M├Âglichkeit, Angriffe auszuf├╝hren. Die Anwendung dieser Funktion ist allerdings nur f├╝r eigene Web-Anwendungen gestattet. Eine weitere Funktionalit├Ąt ist der passive Scan. Wird dieser angewandt, kommt es lediglich zur ├ťberpr├╝fung der Web-Apps, nicht jedoch zu einem Angriff.

Die Funktion Forced Browse dient dazu, einen Angriff auf ausgew├Ąhlte Verzeichnisse oder Files auszuf├╝hren, diese auf dem Webserver zu ├Âffnen und anschlie├čend zu ├╝berpr├╝fen. Mit der Fuzzing-Funktion kann ZAP bewusst ung├╝ltige oder nicht erwartete Anfragen an den Server senden. ├ťber die Dynamic SSL Certificates kann ZAP SSL-Anfragen entschl├╝sseln. Hierbei kommt der MITM-Technik zur Anwendung (Man-in-the-Middle).

├ťber Smartcard kann ZAProxy Web-Applikationen pr├╝fen. Der Client Digital Certificates Support erm├Âglicht es, TSL-Handshakes zu ├╝berpr├╝fen. Dies kann beispielsweise bei der Kommunikation zwischen Mail-Servern zur Anwendung kommen. ├ťber die Funktion WebSockets kann ZAP auch solche Applikationen testen, die einzelne TCP-Verbindungen zur Kommunikation in beide Seiten nutzen.

ZAProxy bietet vielseitige Skript-Unterst├╝tzung. Neben JavaScript und ECMAScript geh├Âren auch Python, Ruby, Groovy und Zest zu den unterst├╝tzten Skripten. ZAP erm├Âglicht es Entwicklern auch, eigene graphische Oberfl├Ąchen zu erstellen. Damit l├Ąsst sich das Werkzeug jederzeit an das eigene Unternehmen anpassen. Zu diesem Zweck kommt die Funktion Powerful REST based API zum Einsatz. REST beschreibt einen Architekturansatz, der die Art der Kommunikation verteilter Systeme definiert. Eine REST API stellt demnach eine bestimmte Programmier-Schnittstelle dar, die an bestimmten Paradigmen ausgerichtet ist.

Mit der von Mozilla entwickelten Plug-n-Hack-Technik l├Ąsst sich festlegen, wie Sicherheits-Werkzeuge wie ZAProxy mit Webbrowsern kooperieren und dabei Sicherheitstests durchf├╝hren k├Ânnen. Eine weitere Eigenschaft des Open-Source-Tools ist seine Erweiterbarkeit. ZAP eignet sich f├╝r die Integration zahlreicher Add-Ons, Plug-ins oder Vorlagen zur Durchf├╝hrung bestimmter Tests. Zum Erwerb dieser Erweiterungen steht ein eigener Webshop zur Verf├╝gung.

Basis-Installation von ZAP durchf├╝hren

Zur Installation auf einem Rechner mit Windows, Linux oder macOS X ist zun├Ąchst die Installationsdatei herunterzuladen. Nach Zustimmung zu den Lizenzbedingungen und Angabe des Installationspfades ist die Anwendung innerhalb weniger Sekunden installiert. Zus├Ątzlich zur eigentlichen Anwendung ist auf dem Rechner eine Java-Umgebung in 64-Bit erforderlich.

Nach dem Start der grafischen Oberfl├Ąche k├Ânnen Anwender und Entwickler sofort mit den diversen Tests beginnen. Unter dem Punkt Schnellstart auf der Registerkarte geben Anwender die URL der zu ├╝berpr├╝fenden Web-Applikation an. Ein Klick auf Angriff startet den Test. W├Ąhrend des Scans zeigt ZAP in einem Fenster die jeweiligen Ergebnisse an. Im linken Bereich ist der Datenverkehr einsehbar, w├Ąhrend die anzugreifende URL in der Mitte steht. Im unteren Bereich sehen Anwender den aktuellen Status des Scanvorgangs. Auch die Scan-Ergebnisse befinden sich im Fenster unten. Die wesentlichen Einstellungen des Werkzeugs finden sich im Bereich Tools – Optionen.

Test der Web-Anwendungen auf Sicherheitsl├╝cken und Anf├Ąlligkeiten

Weit verbreitete gef├Ąhrliche Angriffe sind Spider-Attacken und Fuzzing. Beim Fuzzing versuchen Angreifer, sich durch unerwartete Codes Zugriff auf Webserver zu verschaffen, beziehungsweise diesen Code zu ├╝bertragen. Eine ├Ąhnliche Vorgehensweise ist das Cross-Site-Scripting (XSS). Angriffe dieser Natur lassen sich mittels ZAP ├╝berpr├╝fen.

Wenn Anwender auf der linken Seite einen Aufruf ausw├Ąhlen, sehen sie auf der rechten Seite die Registerkarte Anfrage. In dieser Registerkarte ist der Datenverkehr zu sehen, den der Webbrowser an den Server weitergeleitet hat. Das untere Feld zeigt die eingegebenen Anwender-Daten, wobei hier Anmeldenamen und Passwort teils in sichtbarem Klartext erscheinen.

Auf Grundlage dieser Daten k├Ânnen Anwender einen Fuzzing-Angriff starten. Zu diesem Zwecke ist mittels rechter Maustaste einer der Werte anzuklicken und die Option “Fuzzen” auszuw├Ąhlen. Als Variante des Fuzzens lassen sich auch an Webanwendungen angebundene Datenbanken angreifen und testen. Auch Spider-Angriffe lassen sich via ZAP ├╝berpr├╝fen. Diese Form von Attacke ist darauf ausgelegt, alle URLs einer Web-Applikation zu erreichen. Auf diese Weise sollen Sicherheitsl├╝cken offengelegt werden.

Zum Test eines Spider-Angriffs ist zun├Ąchst die zu ├╝berpr├╝fende URL aufzurufen. Dabei ist darauf zu achten, dass im Browser der ZAP-Rechner als Proxyserver angegeben ist. Nachdem die Seite ge├Âffnet wurde, ist sie direkt in ZAP auf der linken Seite zu finden. Nach Auswahl der zu testenden Seite k├Ânnen Anwender im unteren Bereich der Seite die Registerkarte Spider ├Âffnen. Mit dem Men├╝punkt New Scan l├Ąsst sich der Scanprozess starten. Im Rahmen des Spider-Angriffs l├Ąsst sich die Link-Tiefe des Angriffs im Bereich Tools – Optionen steuern und ver├Ąndern.

Ebenso ist ZAP imstande, versteckte Verzeichnisse nach potenziellen Sicherheitsl├╝cken zu ├╝berpr├╝fen. Solche Verzeichnisse in Web-Anwendungen sind ein besonders beliebtes Ziel bei Angreifern, da sie interessante Daten beinhalten k├Ânnen. Zu diesen z├Ąhlen Konfigurationsdateien oder Logfiles.

Einordnung und Erg├Ąnzung

Web-Tools wie Zed Attack Proxy sind grunds├Ątzlich dazu geeignet, bestehende Sicherheitsl├╝cken in Web-Applikationen aufzudecken. In diesem Zusammenhang sind sie als Zusatz-Werkzeuge im Kontext einer ├╝bergeordneten Sicherheits-Strategie zu verstehen. Anwender sollten sie nicht als Ersatz f├╝r eine grunds├Ątzliche Sicherheits-Infrastruktur ihrer Web-Anwendungen betrachten. Eher sind Werkzeuge wie ZAP geeignet, die schon bestehende Sicherheitsarchitektur zu testen. Die St├Ąrke des Tools besteht darin, auch Einsteigern, eine schnelle und einfach umzusetzende ├ťberpr├╝fung zu erm├Âglichen. Auf den zu testenden Servern sind keine ├änderungen vorzunehmen und auch keine weiteren Agenten erforderlich.

Tipp

Wenn Sie noch Fragen bez├╝glich eines Online Marketing Themas haben, dann k├Ânnen Sie gerne unseren Glossar besuchen und sich ├╝ber das Thema informieren, wo Sie noch speziell Fragen haben.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte