⚜️ ZAP Сканнер уязвимостей

Не много отойдём от темы уязвимостей и поговорим про классный сканер уязвимостей веб приложений под названием Zap.

#Дисклеймер
Но перед тем как мы начнем. Маленький дисклеймер. Друзья, все что будет рассказано в данном посте, показывается исключительно для вашего самообразования и никак иначе. Если хотите что-то взломать, станьте пентестером или проходите CTF. Никогда не используйте знания во вред окружающим!

#FAQ
OWASP Zap - это среда тестирования безопасности, очень похожая на Burp Suite. Он действует как очень надежный инструмент для подсчета. Он используется для тестирования веб-приложений.


Почему бы мне не использовать Burp Suite?

Это хороший вопрос! Большинство людей в сообществе Info-sec ДЕЙСТВИТЕЛЬНО используют Burp Suite. Но OWASP ZAP имеет несколько преимуществ и функций, которых нет в Burp Suite, и это моя предпочтительная программа из двух.

#Преимущества OWASP ZAP?

Это полностью открытый исходный код и бесплатный. Нет премиум-версии, никаких функций, заблокированных за платный доступ, и нет проприетарного кода.


#Установка

OWASP ZAP имеет удобный установщик для систем Windows, Mac OS и Linux.

Скачайте и установите с официального сайта: https://www.zaproxy.org/download/

#Автоматичесское сканирование

Автоматическое сканирование позволяет нам выявить базовые уязвимости в веб приложении. Смысл в том, чтобы данное программное обеспечение помогло вам увидеть ни только уязвимости но и карту сайта.

ZAP сканирует сайт с помощью "Паука" и даже имеет возможность работать через прокси. Произвести автоматическое сканирование легко. Для этого достаточно просто нажать на кнопку "Automated Scan" вставить ссылку на нужный сайт в специальное окно и нажать Start.

#Ручное сканирование

Мы можем просканировать сайт в ручную, просто настроив прокси сервер однако для этого надо так-же как и в Burp Suite скачать ZAP сертификат и импортировать его в наш браузер.

На этом пока все. Скоро расскажу вам про особенные фишки ZAP и почему он немного больше чем просто сканнер.

@linuxkalii