Analisi Vulnerabilità con Owasp-ZAP – Guida Base

Owasp ZAP rientra nella Top 10 dei Tool per pentester più usati. Si tratta di un Tool per l’analisi delle vulnerabilità di WebApp, disponibile sia per Windows che per Linux. Potete scaricarlo dal sito ufficiale qui: https://www.owasp.org

La schermata di Owasp Zap si presenta cosi

La prima cosa da fare sarà installare i componenti aggiuntivi, che torneranno utili nel caso di analisi approfondite. quindi cliccare l’iconcina con i tre quadratini colorati, nel menu in alto. Fatto ciò vedrete la schermata a seguire, cliccate su “Mercato” e poi “Controllare Aggiornamenti”

Selezionate tutte le caselle dei componenti aggiuntivi e poi aggiornare tutto.

A questo punto siamo pronti per iniziare un test, impostate un target nella barra degli indirizzi. Noi eseguiremo il test su http://testphp.vulnweb.com/ si tratta di un sito web fatto apposta per i test (cosi non commettiamo reato).

Owasp ZAP inizia ad eseguire uno spidering delle pagine, nella fase immediatamente successiva iniziarà a testare le vulnerabilita in piena autonomia. Come potrete osservare nella foto che segue, c’è una vastità di Vuln. che verranno testate su tutti gli elementi del sito. Dalle più gravi (es. Inclusione di File) a quelle di tipo informativo (es. PhP Version 1.1.1 etc…)…

Dettagli sulle Vulnerabilità trovate saranno nella sezione Avvisi (Bandierina Rossa).

Osservate bene la foto, in basso a sinistra ci sono l’elenco degli avvisi ed i relativi percorsi (sottoforma di menu ad albero), sulla parte destra trovereta la descrizione dettagliata e la possibile soluzione al problema. In altro invece potrete osservare Richiesta e Risposta (Client e WebServer). Per concludere dal menu in alto, sulla voce “Relazione” potrete creare un report dettagliato nel formato desiderato.
Vedi il Report .html: Test_HWS
Qualsiasi altro dettaglio, configurazioni avanzate, etc… Vi rimando alla fonte ufficiale: https://www.owasp.org