04/08/2024 by

OWASP ZAP (Zed Attack Proxy)



OWASP ZAP (Zed Attack Proxy) adalah alat keamanan open-source yang dirancang untuk pengujian keamanan aplikasi web. ZAP berfungsi sebagai proxy yang memantau dan memodifikasi lalu lintas web untuk mendeteksi kerentanan seperti SQL Injection dan XSS, baik melalui pemindaian pasif maupun aktif. Dengan fitur seperti spidering, pemetaan aplikasi, dan dukungan scripting, ZAP membantu pentester dan pengembang dalam mengidentifikasi dan memperbaiki masalah keamanan. Alat ini juga dapat diintegrasikan dalam pipeline CI/CD dan diperluas dengan berbagai ekstensi untuk meningkatkan fungsionalitas.

Intercepting Proxy

Intercepting proxy bertindak sebagai perantara antara client (browser web) dan server untuk menangkap, menganalisis, dan memodifikasi komunikasi HTTP/HTTPS. Sehingga kita dapat melihat detail permintaan dan respons, mengubah data sebelum diteruskan, serta menganalisis lalu lintas untuk mengidentifikasi masalah atau kerentanan. Umumnya digunakan dalam pengujian keamanan dan debugging aplikasi web untuk memastikan keamanan dan fungsionalitas yang tepat.

Contoh tools :



Beberapa Fitur Utama ZAP

  • Spidering: ZAP dapat menjelajah aplikasi web untuk menemukan URL dan parameter yang mungkin tidak terlihat pada permukaan.
  • Passive Scanning: Menganalisis trafik yang dikumpulkan untuk menemukan potensi kerentanan tanpa mengirimkan permintaan yang tidak diinginkan.
  • Active Scanning: Mengirimkan berbagai jenis serangan untuk menguji kerentanan aplikasi secara aktif.
  • Fuzzer: Mengirimkan data acak atau input yang tidak valid ke aplikasi untuk mengidentifikasi potensi kerentanan.
  • Manual Testing Tools: Menyediakan berbagai alat untuk membantu pentester melakukan pengujian manual, seperti alat untuk mengubah header HTTP, mengedit permintaan dan respons, dan lainnya.
  • Reporting: Dapat menghasilkan laporan yang merinci kerentanan yang ditemukan, termasuk deskripsi, risiko, dan saran mitigasi.
  • Integration: Dapat diintegrasikan dengan alat lain seperti Jenkins untuk automasi pengujian keamanan.

Konfigurasi Proxy


Secara default, ZAP menggunakan port 8080 untuk proxy. Kita dapat memeriksa atau mengubah pengaturan ini di ZAP dengan pergi ke Tools > Options > Local Proxy

Konfigurasi Proxy di ZAP:

  • Buka ZAP.
  • Pergi ke Tools > Options > Local Proxy.
  • Pastikan pengaturan proxy ZAP sesuai dengan localhost dan 8080.

Atur Proxy di Browser:

Google Chrome:

  • Pergi ke Settings > Advanced > System > Open your computer’s proxy settings.
  • Atur proxy HTTP ke localhost dan port 8080.
Mozilla Firefox:

  • Pergi ke Settings > General > Network Settings > Settings.
  • Pilih Manual proxy configuration, atur HTTP Proxy ke localhost dan port 8080.
  • Centang Use this proxy server for all protocols.

Verifikasi Koneksi

  • Buka Browser: Akses beberapa situs web melalui browser yang telah dikonfigurasi untuk menggunakan ZAP sebagai proxy.
  • Periksa ZAP: Di ZAP, kita harus melihat lalu lintas yang muncul di tab Sites dan History. Ini menunjukkan bahwa proxy berfungsi dengan baik dan ZAP menangkap permintaan dan respons.
,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)