OWASP ZAP: Начни тестировать веб-приложения (например, DVWA)
Введение:
OWASP ZAP (Zed Attack Proxy) — это один из самых популярных инструментов для тестирования веб-приложений на уязвимости. Он позволяет находить проблемы безопасности, такие как SQL-инъекции, XSS, проблемы конфигурации серверов и многое другое.
В этом руководстве мы разберём:
- Установку OWASP ZAP
- Запуск тестирования на примере
- уязвимого приложения DVWA
- Основные функции и инструменты ZAP
- Как анализировать результаты и находить уязвимость
1. Установка OWASP ZAP
Windows / Mac / Linux
Скачать ZAP можно с официального сайта (ссылка в нашем тг канале)
и выберите режим Standard Mode (Стандартный режим).
2. Развёртывание уязвимого приложения (DVWA)
Способ 1: Установка через Docker
Если у вас установлен Docker, запустить DVWA можно одной командой:
docker run --rm -it -p 80:80 vulnerables/web-dvwa
Теперь DVWA будет доступен по адресу http://localhost.
Способ 2: Установка вручную (XAMPP + DVWA)
Установите XAMPP
Скачайте DVWA: git clone
Переместите папку DVWA в директорию htdocs XAMPP.
Запустите Apache и MySQL в XAMPP Control Panel.
Перейдите в браузере по адресу http://localhost/DVWA/setup.php, настройте базу и войдите (логин: admin, пароль: password).
3. Подключение OWASP ZAP к DVWA
Настроить прокси в браузере:
В ZAP откройте Tools → Options → Local Proxies и убедитесь, что прокси включён (обычно 127.0.0.1:8080).
В браузере (например, Firefox) настройте ручной прокси: HTTP Proxy: 127.0.0.1 Port: 8080
Перейти в DVWA через ZAP:
В браузере откройте http://localhost/DVWA/.
ZAP начнёт перехватывать трафик, и вы увидите запросы во вкладке Sites.
4. Основные функции ZAP
Автоматическое сканирование
Запустите Quick Start → Automated Scan, укажите URL (например, http://localhost/DVWA/) и нажмите Attack. ZAP просканирует сайт и покажет найденные уязвимости.
Перехват запросов (Proxy)
Во вкладке History можно увидеть все HTTP-запросы. Их можно изменять и отправлять повторно, например, для тестирования SQL-инъекций.
Active Scan (Активное сканирование)
Найдите сайт в разделе Sites, щёлкните правой кнопкой и выберите Attack → Active Scan.
ZAP попробует найти уязвимости, отправляя специальные тестовые запросы.
Spider (Краулер)
Если вам нужно полностью исследовать сайт, используйте Spider:
Щёлкните правой кнопкой по сайту → Attack → Spider Scan.
ZAP пройдётся по всем страницам и соберёт ссылки.
Fuzzer (Фаззер)
Фаззинг помогает автоматически отправлять множество разных значений в параметры запроса (например, для поиска XSS или SQL-инъекций).
Выберите запрос в History.
Правой кнопкой → Attack → Fuzz.
Укажите параметр для атаки и загрузите список пейлоадов (например, XSS-инъекции).
5. Анализ результатов
После сканирования ZAP покажет найденные уязвимости:
High (Критические) — SQL-инъекции, удалённое выполнение кода.
Medium (Средние) — XSS, уязвимости конфигурации.
Low (Низкие) — раскрытие информации, слабые заголовки безопасности.
Щёлкните на уязвимость, чтобы увидеть:
- Описание проблемы
- Как её можно использовать в атаке
- Как её можно исправить
6. Как защититься от атак OWASP ZAP?
- Используйте защиту от XSS и SQL-инъекций (подготовленные запросы, CSP).
- Ограничьте доступ к административным страницам (HTTP Basic Auth, VPN).
- Включите HTTPS и корректно настройте заголовки безопасности.
- Включите Web Application Firewall (WAF), например, ModSecurity.
OWASP ZAP — мощный инструмент для тестирования безопасности веб-приложений. Он прост в использовании, но при этом позволяет находить серьёзные уязвимости.
Следующий шаг: попробуйте протестировать другие уязвимые приложения, такие как bWAPP или Juice Shop!
Какие инструменты пентеста вам ещё интересны? Пишите в комментариях!
Все ссылки в нашем тг канале CyberCommunityKids 😉