Обновление инструмента безопасности OWASP ZAP

Мир преобразился и хакеры по всему миру ликуют. 5 дней назад - 16 января увидела свет новая версия культового инструмента для тестирования на проникновение OWASP ZAP. Состоящая в каждом без исключения дистрибутиве для пентестеров, эта программа не просто так заслужила почет и уважение.

Ее чаще всего сравнивают с другим известным инструментом - Burp Suite, т.к. основной функционал у них схож, т.е. локальный прокси позволяющий перехватывать и модифицировать исходящие запросы. Кроме этого встроенный сканер уязвимостей, фаззер и возможность подключать плагины как от разработчиков так и сообщества делают их действительно схожими во многом (правда все эти качества соответствуют платной версии Burp Suite, в отличии от совершенно бесплатного ZAP).

Удалено в новой версии:

Классы/коды для функциональности фильтров, устаревшие с версии ZAP 2.4.0, были удалены. Надстройки, которые все еще используют, перестанут работать.

Следующие библиотеки были обновлены:

• Bouncy Castle, 1.61 → 1.64
• Commons BeanUtils, 1.9.3 → 1.9.4
• Commons Codec, 1.12 → 1.13
• Commons CSV, 1.6 → 1.7
• Commons Text, 1.6 → 1.8
• HSQLDB, 2.4.1 → 2.5.0
• Nashorn Sandbox, 0.1.25 → 0.1.26
• RSyntaxTextArea, 3.0.3 → 3.0.4
• SQLite JDBC, 3.27.2.1 → 3.28.0

Улучшения:

Всего список состоит из 31 пунктов, перечислять их долго и статья сильно расстянется, поэтому отмечу несколько наиболее интересных на мой взгляд:

• Расширение: фильтр панели параметров
• Разрешить указывать URI страницы входа
• Изменить срок действия сертификата сайта на 825 дней
• Значок редактора запросов вручную
• Предоставление сведений о контексте правилам пассивного сканирования
• Токены AntiCSRF добавляют новые значения по умолчанию
• HttpHeader предоставляет вариант List для getHeaders (String)

Исправлены некоторые ошибки:

Список так же большой - из 23 пунктов, перечислю наиболее интересное:

• "Resend" вручную устанавливает куки в ответ
• Возможность обновить версию протокола HTTP в редакторе запросов вручную
• Запрос аутентификации без запроса цели из скрипта аутентификации вызывает исключения
• Улучшение обработки ошибок при создании политик сканирования
• Справиться с отсутствующим токеном в данных POST аутентификации
• Отключить JAR-кэширование по умолчанию

Более подробно можно ознакомится на официальном сайте разработчиков.

Что бы установить программу необходимо перейти в раздел загрузок на их сайте и выбрать версию для своей операционной системы

Для пользователей Linux и Mac OS разработчики предусмотрели возможность скачать программу в терминале сразу с репозиториев, команды к которым приведены там же на сайте.

Визуально ничего совершенно не изменилось ни при запуске программы ни в ее интерфейсе

Кстати в отличии от версии 2.8.0 когда был осуществлен переход с версии 2.7. В этот раз обощлись без визуальных изменений.

На данной странице можно познакомится с описанием плагинов от разработчиков которое можно подключить в Marketplace (не смотря на такое название все плагины абсолютно бесплатны). Тут видны как уже имеющиеся скрипты (плагины/аддоны)

Так и доступные из магазина для установки

Так же помимо маркетплейса (магазина) есть возможность добавлять комьюнити плагины, т.е. от сообщества. В этом официальном репозитории на Github они собраны и активно поддерживаются.

Как видно, самые последниее изменения там происходили 5 и 7 дней назад, что свидетельствует о том, что "жизнь там кипит" и можно быть уверенным в том, что все плагины актуальны и могут активно применяться при пентесте.

Более того, можно добавлять плагины и собственной разработки. ZAP поддерживает плагины написанные на языках программирования Python, Jython, JavaScript, Groovy, Zest, Ruby. Кстати еще одной крутой фичей является возможность записать свои действия как в кликере, которые затем будут транслированы в код на языке Zest.

Кстати освоить его совсем не сложно, программа почти полностью переведена на русский язык (не обращайте внимания, что у меня - у меня сама система на английском, соответственно программа на нем). Есть так же отличная серия видео туториала в youtube, если у вас нет проблем с английским языком, то почти половина ZAP будет с лёгкостью усвоена по этим роликам.

Итог

ZAP является одним из самых популярных инструментов пентестеров (4-е место в рейтинге), бесплатный, профессиональный, интуитивно понятный, актуальный, имеющий огромный функционал. Надеюсь эта статья послужит началом для изучения и овладения навыками использования этого мощного хак-оружия.