Khi các bạn hoặc team mình develop ra một áp dụng Web thì bạn có biết là, vận dụng Web đó đã có những biện pháp bảo mật thông tin hay không không ? trường hợp một lỗ hổng trường tồn trong áp dụng web của bạn, thì rất dễ phát sinh ra những trường đúng theo trang web của người tiêu dùng bị mang mạo, bị tiến công sập, hoặc thậm chí là có khả năng sẽ bị rò rỉ thông tin cá nhân.

Bạn đang xem: Hướng dẫn sử dụng owasp zap

Ví dụ dễ dàng nắm bắt nhất là, hình dung trường thích hợp một site EC của một doanh nghiệp mà bị sập thì ta sẽ hiểu được vấn đề tại chỗ này nghiêm trọng như vậy nào. Mặc dù nhiên, vẫn tiếc là chúng ta lại thường băn khoăn về những lỗ hổng của áp dụng Web mà chúng ta xây dựng lên.

Ở nội dung bài viết này, tôi muốn reviews công cố gắng chẩn đoán bảo mật thông tin "OWASP ZAP". Bằng cách sử dụng OWASP ZAP, chúng ta cũng có thể kiểm tra lỗ hổng của áp dụng web. Và đặc trưng nhất là, bạn hoàn toàn có thể sử dụng nó miễn giá thành

*
.

Hãy cùng tìm hiểu một chút về OWASP ZAP.

Lỗ hổng của vận dụng Web là gì ?

Nếu đó là lần thứ nhất bạn nghe về thuật ngữ "Ứng dụng web", thì tôi mong muốn bạn nhớ khái niệm của nó một cách dễ dàng chỉ là "một trang web có công dụng tiện lợi trên Internet". Ví dụ: các công chũm tìm tìm như Google với Yahoo! là "ứng dụng web".

Một trang web giao hàng việc bình chọn số dư tài khoản bank cũng là một ứng dụng web. Ko kể ra, những trang e-learning, blog... Toàn bộ đều là các ứng dụng web.

Để làm rõ hơn về lỗ hổng, hãy cùng để mắt tới trường hợp của những trang EC (như Tiki, Lazada ...). Đối với các công ty quản lý EC, website EC là một trong công cụ bán hàng quan trọng.

Nếu tất cả một lỗ hổng trong áp dụng web của trang EC này, và nếu nó bị tấn công mạng, bị hack, thì có công dụng nó sẽ buộc phải chịu các thiệt sợ sau.

Mất cơ hội bán hàng do trang EC bị đình chỉBị rò rỉ thông tin khách hàngPhải xin lỗi quý khách hàng và bồi thườngBị tấn công mất hình hình ảnh thương hiệu ...

Để kiêng xảy ra những thiệt hại như trên, tôi nghĩ bạn sẽ muốn điều tra lỗ hổng của ứng dụng web của bản thân mình bằng qui định chẩn đoán bảo mật OWASP ZAP.

Ai đã tạo ra OWASP ZAP ?

Công ráng chẩn đoán bảo mật "OWASP ZAP" được tạo vày một xã hội quốc tế mang tên là The mở cửa Web Application Security Project (OWASP).OWASP được quản lý điều hành bởi tổ chức có tên The OWASP Foundation (Quỹ OWASP) tại Hoa Kỳ cùng được thành lập và hoạt động vào năm 2001. Ngày nay thì đã tất cả hơn 200 chi nhánh trên khắp cố gắng giới. Tại Nhật bạn dạng cũng bao gồm OWASP Nhật Bản. Mục tiêu của The OWASP Foundation là bảo đảm các áp dụng Web, vì vậy những thành viên của OWASP đang thực hiện hơn 120 dự án. Với OWASP ZAP là tool được sản xuất ra phía bên trong hơn 120 dự án đó, làm cho bất cứ ai cũng có thể kiểm tra các lỗ hổng của ứng dụng web một bí quyết miễn phí.

Xem thêm: Hướng Dẫn Tỉa Lông Vùng Kín Đẹp Tại Nhà Cho Chị Em, Cách Dọn Dẹp Lông Vùng Kín Đẹp Tại Nhà Cho Chị Em

Cách áp dụng OWASP ZAP

Cách thực hiện của OWASP ZAP thực thụ rất 1-1 giản.

Chỉ phải tải OWASP ZAP về thiết bị tính của công ty và nhập URL của vận dụng Web mà bạn có nhu cầu kiểm tra lỗ hổng. Nó sẽ cố gắng tấn công vận dụng Web đó nhằm kiểm tra, xác định điểm yếu và giới thiệu cho bọn họ biết những nhược điểm mà nó sẽ tìm thấy.

Có thể cài xuống OWASP ZAP từ URL sau.https://github.com/zaproxy/zaproxy/wiki/Downloads

Khi cài xuống, một thông báo "Bạn vẫn muốn lưu ?" xuất hiện, hãy lưu lại nó.Tiếp theo, sẽ lộ diện thông báo hỏi "Bạn ao ước lưu ZAP session như thế nào ?", check vào checkbox "Không lưu giữ liên tục, chỉ lưu lại session khi cần" rồi nhấp vào "Bắt đầu".Như vậy, OWASP ZAP đã sẵn sàng chuẩn bị để chạy trên máy tính, sau thời điểm thực hiện cài đặt proxy thì bạn có thể thực hiện soát sổ lỗ hổng.

OWASP ZAP chất vấn những gì ?

OWASP ZAP kiểm soát lỗ hổng của áp dụng web bởi ba phương pháp kiểm tra sau.

Scan 1-1 giảnScan tĩnhScan động

Hãy cùng xem xét ví dụ từng phương pháp.

Scan đơn giản và dễ dàng sẽ làm gì ?

"Scan" nghĩa là tiến công ứng dụng web mục tiêu. Khi nhập URL của áp dụng Web phải kiểm tra vào OWASP ZAP, quá trình scan đơn giản sẽ bắt đầu. Tùy trường đúng theo mà việc scan hoàn toàn có thể được tiến hành trong vài phút, tuy nhiên hoặc có thể mất vài giờ.

OWASP ZAP vẫn gửi một trong những lượng to request đến áp dụng Web mục tiêu. ("Request" theo thuật ngữ máy tính là "yêu cầu" hoặc "tin nhắn" được trao đổi trên hệ thống máy tính.) Khi quá trình scan đơn giản hoàn tất, những lỗ hổng được kiếm tìm thấy sẽ được hiển thị ngơi nghỉ mục "Alert (warning)" bên trên màn hình.

Scan tĩnh sẽ làm cái gi ?

Trong quá trình scan tĩnh, người thao tác làm việc OWASP ZAP (user) vẫn thực sự sử dụng thử áp dụng Web mục tiêu.Ví dụ: nếu vận dụng Web kim chỉ nam là trang EC, thì user đang mở trang sản phẩm, cho thành phầm vào "Giỏ hàng" rồi triển khai thanh toán.Bằng cách thực hiện các thao tác làm việc mà user luôn thực hiện tại ở áp dụng Web, OWASP ZAP sẽ triển khai kiểm tra là áp dụng Web đã hoạt động như nạm nào ứng với làm việc của user.Khi scan tĩnh hoàn thành, những lỗ hổng được tìm thấy cũng biến thành được hiển thị dưới dạng Warning.

Scan rượu cồn sẽ làm gì ?

Scan rượu cồn được thực hiện bằng phương pháp gửi một số trong những lượng to request (giống như quá trình scan đơn giản) đối với các vị trí tiến hành scan tĩnh. Mục đích là "Thử cố gắng tấn công một đợt nữa" nhằm mục đích tìm ra những điểm yếu đã trở nên sót sống scan đơn giản dễ dàng và scan tĩnh.

Kết luận~ Hãy sử dụng thử OWASP ZAP

OWASP ZAP hoàn toàn có thể được áp dụng miễn phí. Vày vậy, hãy thử sử dụng nó để kiểm tra ứng dụng web của mình. Với nếu tra cứu thấy lỗ hổng, bạn cũng có thể yêu cầu mặt phát triển hệ thống thực hiện soát sổ bảo mật tin tức một cách đầy đủ. Hãy thử sử dụng OWASP ZAP.

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *