ZAProxy
Copyright © Shutterstock/iDEAR Replay
Was ist ZAProxy?
Das Open-Source-Werkzeug ZAP (Zed Attack Proxy) dient dazu, Schwachstellen in Web-Anwendungen zu finden. SicherheitslĂŒcken stellen ein groĂes Problem dar, mit dem sich Entwickler und Administratoren konfrontiert sehen. ZAProxy ĂŒberprĂŒft solche Applikationen fortwĂ€hrend auf bestehende LĂŒcken. Penetrationstests und simulierte Angriffe dienen dazu, potenzielle Schwachpunkte offenzulegen.
Allgemeines zum Open-Source-Tool Zed Attack Proxy
Das Open-Source-Tool gehört zum Open Web Application Security Projekt oder OWASP. Administratoren finden mit diesem Werkzeug eine Möglichkeit der automatischen SicherheitsĂŒberprĂŒfung von Web-Apps. Das Tool basiert auf Paros Proxy und richtet sich insbesondere an Entwickler und Nutzer, die bisher wenig Erfahrung mit Sicherheitstests oder Penetrationstests haben. Gleichzeitig ist es auch fĂŒr die professionelle Anwendung geeignet. ZAP gilt als vergleichsweise einfache Lösung, lĂ€sst sich schnell installieren und ist mit vielen Betriebssystemen kompatibel (Windows, macOS X und Linux).
FunktionalitĂ€t im Ăberblick
ZAProxy bietet Anwendern eine Reihe von Funktionen, die vom Abfangen und PrĂŒfen der Web-Apps ĂŒber den aktiven Scan bis zur EntschlĂŒsselung von SSL-Anfragen reicht. Mit der Funktion Intercepting Proxy ermöglicht das Tool es, sĂ€mtliche Anfragen und Antworten einer Web-App abzufangen, beispielsweise Ajax-Calls. Diese werden anschlieĂend ĂŒberprĂŒft.
Mit der Spider-Funktion lassen sich neue URLS auf Webseiten offenlegen und aufrufen. Anwender können mit dem ZAP-Spider sĂ€mtliche gefundenen Links auf SicherheitslĂŒcken oder -probleme ĂŒberprĂŒfen. Mit dem aktiven Scan fĂŒhrt ZAP eine automatische ĂberprĂŒfung der Web-Anwendungen auf SicherheitslĂŒcken durch. Weiterhin verfĂŒgt ZAP auch ĂŒber die Möglichkeit, Angriffe auszufĂŒhren. Die Anwendung dieser Funktion ist allerdings nur fĂŒr eigene Web-Anwendungen gestattet. Eine weitere FunktionalitĂ€t ist der passive Scan. Wird dieser angewandt, kommt es lediglich zur ĂberprĂŒfung der Web-Apps, nicht jedoch zu einem Angriff.
Die Funktion Forced Browse dient dazu, einen Angriff auf ausgewĂ€hlte Verzeichnisse oder Files auszufĂŒhren, diese auf dem Webserver zu öffnen und anschlieĂend zu ĂŒberprĂŒfen. Mit der Fuzzing-Funktion kann ZAP bewusst ungĂŒltige oder nicht erwartete Anfragen an den Server senden. Ăber die Dynamic SSL Certificates kann ZAP SSL-Anfragen entschlĂŒsseln. Hierbei kommt der MITM-Technik zur Anwendung (Man-in-the-Middle).
Ăber Smartcard kann ZAProxy Web-Applikationen prĂŒfen. Der Client Digital Certificates Support ermöglicht es, TSL-Handshakes zu ĂŒberprĂŒfen. Dies kann beispielsweise bei der Kommunikation zwischen Mail-Servern zur Anwendung kommen. Ăber die Funktion WebSockets kann ZAP auch solche Applikationen testen, die einzelne TCP-Verbindungen zur Kommunikation in beide Seiten nutzen.
ZAProxy bietet vielseitige Skript-UnterstĂŒtzung. Neben JavaScript und ECMAScript gehören auch Python, Ruby, Groovy und Zest zu den unterstĂŒtzten Skripten. ZAP ermöglicht es Entwicklern auch, eigene graphische OberflĂ€chen zu erstellen. Damit lĂ€sst sich das Werkzeug jederzeit an das eigene Unternehmen anpassen. Zu diesem Zweck kommt die Funktion Powerful REST based API zum Einsatz. REST beschreibt einen Architekturansatz, der die Art der Kommunikation verteilter Systeme definiert. Eine REST API stellt demnach eine bestimmte Programmier-Schnittstelle dar, die an bestimmten Paradigmen ausgerichtet ist.
Mit der von Mozilla entwickelten Plug-n-Hack-Technik lĂ€sst sich festlegen, wie Sicherheits-Werkzeuge wie ZAProxy mit Webbrowsern kooperieren und dabei Sicherheitstests durchfĂŒhren können. Eine weitere Eigenschaft des Open-Source-Tools ist seine Erweiterbarkeit. ZAP eignet sich fĂŒr die Integration zahlreicher Add-Ons, Plug-ins oder Vorlagen zur DurchfĂŒhrung bestimmter Tests. Zum Erwerb dieser Erweiterungen steht ein eigener Webshop zur VerfĂŒgung.
Basis-Installation von ZAP durchfĂŒhren
Zur Installation auf einem Rechner mit Windows, Linux oder macOS X ist zunÀchst die Installationsdatei herunterzuladen. Nach Zustimmung zu den Lizenzbedingungen und Angabe des Installationspfades ist die Anwendung innerhalb weniger Sekunden installiert. ZusÀtzlich zur eigentlichen Anwendung ist auf dem Rechner eine Java-Umgebung in 64-Bit erforderlich.
Nach dem Start der grafischen OberflĂ€che können Anwender und Entwickler sofort mit den diversen Tests beginnen. Unter dem Punkt Schnellstart auf der Registerkarte geben Anwender die URL der zu ĂŒberprĂŒfenden Web-Applikation an. Ein Klick auf Angriff startet den Test. WĂ€hrend des Scans zeigt ZAP in einem Fenster die jeweiligen Ergebnisse an. Im linken Bereich ist der Datenverkehr einsehbar, wĂ€hrend die anzugreifende URL in der Mitte steht. Im unteren Bereich sehen Anwender den aktuellen Status des Scanvorgangs. Auch die Scan-Ergebnisse befinden sich im Fenster unten. Die wesentlichen Einstellungen des Werkzeugs finden sich im Bereich Tools – Optionen.
Test der Web-Anwendungen auf SicherheitslĂŒcken und AnfĂ€lligkeiten
Weit verbreitete gefĂ€hrliche Angriffe sind Spider-Attacken und Fuzzing. Beim Fuzzing versuchen Angreifer, sich durch unerwartete Codes Zugriff auf Webserver zu verschaffen, beziehungsweise diesen Code zu ĂŒbertragen. Eine Ă€hnliche Vorgehensweise ist das Cross-Site-Scripting (XSS). Angriffe dieser Natur lassen sich mittels ZAP ĂŒberprĂŒfen.
Wenn Anwender auf der linken Seite einen Aufruf auswÀhlen, sehen sie auf der rechten Seite die Registerkarte Anfrage. In dieser Registerkarte ist der Datenverkehr zu sehen, den der Webbrowser an den Server weitergeleitet hat. Das untere Feld zeigt die eingegebenen Anwender-Daten, wobei hier Anmeldenamen und Passwort teils in sichtbarem Klartext erscheinen.
Auf Grundlage dieser Daten können Anwender einen Fuzzing-Angriff starten. Zu diesem Zwecke ist mittels rechter Maustaste einer der Werte anzuklicken und die Option “Fuzzen” auszuwĂ€hlen. Als Variante des Fuzzens lassen sich auch an Webanwendungen angebundene Datenbanken angreifen und testen. Auch Spider-Angriffe lassen sich via ZAP ĂŒberprĂŒfen. Diese Form von Attacke ist darauf ausgelegt, alle URLs einer Web-Applikation zu erreichen. Auf diese Weise sollen SicherheitslĂŒcken offengelegt werden.
Zum Test eines Spider-Angriffs ist zunĂ€chst die zu ĂŒberprĂŒfende URL aufzurufen. Dabei ist darauf zu achten, dass im Browser der ZAP-Rechner als Proxyserver angegeben ist. Nachdem die Seite geöffnet wurde, ist sie direkt in ZAP auf der linken Seite zu finden. Nach Auswahl der zu testenden Seite können Anwender im unteren Bereich der Seite die Registerkarte Spider öffnen. Mit dem MenĂŒpunkt New Scan lĂ€sst sich der Scanprozess starten. Im Rahmen des Spider-Angriffs lĂ€sst sich die Link-Tiefe des Angriffs im Bereich Tools – Optionen steuern und verĂ€ndern.
Ebenso ist ZAP imstande, versteckte Verzeichnisse nach potenziellen SicherheitslĂŒcken zu ĂŒberprĂŒfen. Solche Verzeichnisse in Web-Anwendungen sind ein besonders beliebtes Ziel bei Angreifern, da sie interessante Daten beinhalten können. Zu diesen zĂ€hlen Konfigurationsdateien oder Logfiles.
Einordnung und ErgÀnzung
Web-Tools wie Zed Attack Proxy sind grundsĂ€tzlich dazu geeignet, bestehende SicherheitslĂŒcken in Web-Applikationen aufzudecken. In diesem Zusammenhang sind sie als Zusatz-Werkzeuge im Kontext einer ĂŒbergeordneten Sicherheits-Strategie zu verstehen. Anwender sollten sie nicht als Ersatz fĂŒr eine grundsĂ€tzliche Sicherheits-Infrastruktur ihrer Web-Anwendungen betrachten. Eher sind Werkzeuge wie ZAP geeignet, die schon bestehende Sicherheitsarchitektur zu testen. Die StĂ€rke des Tools besteht darin, auch Einsteigern, eine schnelle und einfach umzusetzende ĂberprĂŒfung zu ermöglichen. Auf den zu testenden Servern sind keine Ănderungen vorzunehmen und auch keine weiteren Agenten erforderlich.
Tipp
Wenn Sie noch Fragen bezĂŒglich eines Online Marketing Themas haben, dann können Sie gerne unseren Glossar besuchen und sich ĂŒber das Thema informieren, wo Sie noch speziell Fragen haben.
Sie haben noch Fragen?
