1. Nội dung
- Giới thiệu
- Tool Test Security – OWASP ZAP
- Một số chức năng của OWASP
- Các bài viết liên quan
2. Giới thiệu
- OWASP là từ viết tắt của The Open Web Application Security Project (dự án mở về bảo mật ứng dụng Web), dự án là một cộng đồng chung giúp các tổ chức có thể phát triển, mua hoặc bảo trì các ứng dụng an toàn. Ở OWASP ta sẽ tìm thấy nhiều thứ “miễn phí” và “mở” (free and open) sau đây:
- Công cụ và các tiêu chuẩn về an toàn thông tin
- Sách về kiểm tra bảo mật, lập trình an toàn và các bài viết về bảo mật mã nguồn
- Thư viện và các tiêu chuẩn điều khiển bảo mật
- Các chi nhánh của hội ở khắp nơi trên thế giới
- Những nghiên cứu mới nhất
- Những buổi hội thảo toàn cầu
- Địa chỉ thư tín chung
- Và nhiều thứ khác, xem thêm tại www.owasp.org
- OWASP cũng đưa ra danh sách top 10 các rủi ro:
- Injection: Tiêm nhiễm mã độc
- Broken Authentication and Session Management: Sai lầm trong kiểm tra định danh và phiên làm việc
- Cross-Site scripting(XSS): Thực thi mã Script xấu
- Insecure Direct Object Reference: Đối tượng tham chiếu thiếu an toàn
- Security Misconfiguration : Sai sót cấu hình an ninh
- Sensitive Data Exposure: Lộ dữ liệu nhạy cảm
- Missing Function Level Access Control : Mất kiểm soát mức độ truy cập chức năng
- Cross Site Request Forgery (CSRF): Giả mạo yêu cầu
- Using Known Vulnerable Components: Tấn công sử dụng các thành phần với các lỗ hổng đã biết
- Unvalidated Redirects and Forwards: Chuyển hướng và chuyển tiếp không an toàn
- Tool Test Security – OWASP ZAP - Là một security scanner
- ZAP: Zed Attack Proxy https://github.com/zaproxy/zaproxy/
- Nội dung chi tiết: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
3. Tool Test Security – OWASP ZAP
Cài đặt
- Cài đặt và sử dụng theo như link sau:
<iframe allowfullscreen="" frameborder="0" height="281" src="https://www.youtube.com/embed/sX3vaxsUcC0?feature=oembed" width="500"></iframe>
Một số chức năng chính của OWASP ZAP
- The Spiders: crawler ( sử dụng AJAX Spiders để scan các AJAX request )
- Proxy: Recorder , để giúp tạo những data hợp lệ khi attack.
- Active và Passive Scanning: quét lỗ hổng chủ động và bị động
- Fuzzer: gửi những data không hợp lệ, không mong muốn.
- Changing requests and Responses : allows you to specify as complex a criteria as you need
4. Sử dụng OWASP test thử SQL Injection của DVWA
- Security level: low, OWASP ZAP scan:
-
Khi Sử dụng thử chức năng Fuzz với thiết lập của của
ID={FUZZ}, FUZZ
là dữ liệu của MYSQL Injection để test.
-
Kết quả test với Fuzz (Các nhãn Reflected là những nhãn đáng suy nghĩ. Có khả năng xảy ra đặc biệt trong nhóm này. ):
- Security Level: impossible:- Active Scan:
- Fuzz – MYSQL Injection Scan: