Cos’è OWASP ZAP

Open Web Application Security Project Zed Attack Proxy è un tool sviluppato per analizzare, testare ed effettuare attacchi ad applicazioni web. E’ multi-piattaforma, dunque disponibile anche per Windows e iOS. Ha tutto l’essenziale per poter effettuare test di web-app:

  • Crawler
  • Proxy di intercettazione
  • Scanner Attivo
  • Scanner Passivo
  • Generatore di rapporti.

Come Funziona

Per poter avviare OWASP ZAP basta digitare in terminale con utente root:

owasp-zap

oppure:

zaproxy

Al primo avvio dobbiamo accettare i termini e condizioni d’uso dell’applicativo.

Vi si presenterà questa schermata:

Selezioniamo il tipo di sessione, se persistente o meno e iniziamo.

Da avvio rapido possiamo scegliere se avviare una scansione attiva, o lanciare uno dei nostri browser sotto proxy di intercettazione:

Dopo aver avviato il nostro browser iniziamo a navigare all’interno del sito da testare. Nel mio caso utilizzerò http://testphp.vulnweb.com/ reso vulnerabile volutamente e destinato al testing.

Possiamo notare che durante la navigazione OWASP Zap rileva e identifica numerose vulnerabilità.

Come puoi notare abbiamo un’ampia panoramica abbastanza dettagliata delle vulnerabilità e delle parti del codice interessate, con una buona descrizione.

 

ATTENZIONE: Testare un applicazione web senza autorizzazione scritta è illegale, quanto scritto è solo a scopo didattico e informativo, non mi assumo nessuna responsabilità dell’uso che ne farete.