• Amaliy qism
  • Nazorat savollari
    		•

    2 amaliy ish Mavzu: owasp zap dasturi yordamida tizimni xavfsizlikka testlash. Ishdan maqsad




    Download 306.51 Kb.
    Sana07.04.2024
    Hajmi306.51 Kb.
    #190840
    Bog'liq
    OWASP ZAP dasturi yordamida tizimni xavfsizlikka testlash.
    chamadonga, D A R S jadvali, kiberxavfsizlik-yangi-o-zbekiston-raqamli-iqtisodiyotining-fundamental-omili, Individual loyiha, OWASP WebGoat simulyatorida SQL ineksiya tahdidini amalga oshirish

    2 - amaliy ish
    Mavzu: OWASP ZAP dasturi yordamida tizimni xavfsizlikka testlash.
    Ishdan maqsad: OWASP ZAP dasturi yordamida tizimni xavfsizlikka testlash ko‘rikmasini shakllantirish.
    Nazariy qism
    Xavfsizlik testlari asoslari. Dasturiy ta'minot xavfsizligi testi - bu tizim va uning ma'lumotlarining xavfsizlik xavflari va zaifliklarini aniqlash uchun tizimni baholash va sinovdan o'tkazish jarayoni. ZAP testni zaifliklarni aniqlash va ulardan foydalanishga urinish sifatida belgilaydi.
    Xavfsizlik testi ko'pincha sinovdan o'tkazilayotgan zaiflik turiga yoki sinov turiga qarab amalga oshiriladi. Umumiy testlash turlari:
    Zaiflikni baholash - tizim xavfsizlik muammolari uchun skanerdan o'tkaziladi va tahlil qilinadi.
    Penetratsiya testi - tizim zararli hujumchilar tomonidan tahlil va hujumdan o'tadi.
    Runtime testi - tizim oxirgi foydalanuvchi tomonidan tahlil va xavfsizlik sinovidan o'tadi.
    Kod analizi- tizim kodi batafsil ko'rib chiqiladi va xavfsizlikning zaif tomonlarini aniqlash uchun tahlil qilinadi.
    ZAP haqida qisqacha ma’lumot. Zed Attack Proxy (ZAP) - bu kirib boorish testini (penetration testing) amalga oshirish uchun ochiq loyihasi bo‘lib, OWASP kompaniyasi mahsuloti hisoblanadi. ZAP veb-ilovalarni tahdidlarda testlash uchun maxsus ishlab chiqilgan.
    ZAPni “man-in-the-middle proxy” deb nomlanuvchi hokum turi deb tushunsa bo‘ladi. U testerning brauzeri va veb-ilovasi o'rtasida joylashgan bo'lib, u brauzer va veb-ilova o'rtasida yuborilgan xabarlarni ushlab turishi va tekshirishi, kerak bo'lganda tarkibni o'zgartirishi va keyin ushbu paketlarni belgilangan joyga yo'naltirishi mumkin.

    13.1 – rasm. ZAP dasturi mantiqiy joylashuvi.
    Agar boshqa tarmoq proksi-serveri allaqachon ishlatilayotgan bo'lsa, ko'pgina korporativ muhitlarda bo'lgani kabi, ZAP ushbu proksi-serverga ulanish uchun sozlanishi mumkin.

    13.2 – rasm. ZAP dasturi proxy serveri mantiqiy joylashuvi.
    ZAP turli kvalifikatsiya darajalari uchun funksional imkoniyatlar taqdim qiladi, dasturchidan tortib xavfsizlik testerigacha. ZAP har bir asosiy operatsion tizim va Docker uchun versiyalarga ega, shuning uchun bitta operatsion tizim bilan bog'lanib qolinmaydi.
    Amaliy qism
    ZAP Desktop UI quyidagi elementlardan iborat:

    1. Menyu paneli - ko'plab avtomatlashtirilgan va qo'lda ishlaydigan vositalarga kirishni ta'minlaydi.

    2. Toolbar paneli - eng ko'p ishlatiladigan xususiyatlarga oson kirishni ta'minlaydigan tugmalarni o'z ichiga oladi.

    3. Tree Windows - saytlar daraxti va skriptlar daraxtini ko'rsatadi.

    4. Ish maydoni oynasi - so'rovlar, javoblar va skriptlarni ko'rsatadi va ularni tahrirlash imkonini beradi.

    5. Ma'lumot oynasi - avtomatlashtirilgan va qo'lda ishlaydigan toollarning tafsilotlarini ko'rsatadi.

    6. Footer- topilgan tahdidlarning qisqacha mazmunini va asosiy avtomatlashtirilgan toollar holatini ko'rsatadi.


    13.3 – rasm. ZAP dasturi ishchi oynasi.
    Avtomatlashtirilgan skanerlashni ishga tushirish
    ZAP-dan foydalanishni boshlashning eng oson yo'li Quick Start yorlig'i orqali amalga oshiriladi. Quick start - bu ZAP qo'shimchasi bo'lib, siz ZAP o'rnatganingizda avtomatik ravishda qo'shiladi.
    Quick start avtomatik skanerlashni ishga tushirish uchun:

    1. ZAP-ni ishga tushiring va ish maydoni oynasining Quick start yorlig'ini bosing;

    2. Katta avtomatlashtirilgan skanerlash tugmasini bosing;

    3. Hujum qilish uchun URL matn maydoniga hujum qilmoqchi bo'lgan vebilovaning to'liq URL manzilini kiriting;

    4. Hujum tugmasini bosing.


    13.3 – rasm. ZAP dasturi avtomatik skanerlash bo‘limi.
    Tanlanga saytga hujum uyushtirilgandan so‘ng dasturning footer qismida hujum natijalarini ko‘rish mumkin.

    13.3 – rasm. ZAP dasturi ogohlantirishlar ro‘yxati.
    Ogohlantiruvchi xabar ustiga ikki marta sichqonchaning chap tugmasi bosilgandan so‘ng to ‘liq ma’lumotni olish mumkin.

    13.3 – rasm. ZAP dasturi ogohlantirish yozuvining umumiy ko‘rinishi.

    Nazorat savollari

    1. Dasturiy ta'minot xavfsizligi testi

    2. Penetratsiya testi nima

    3. Zed Attack Proxy (ZAP) nima

    1. Dasturiy ta'minot xavfsizligi testi, dasturlar yoki tizimlarning xavfsizligini tekshirish uchun amalga oshiriladigan bir qator sinovlar va imtihonlar to'plamidir. Bu testlar dastur yoki tizimda mavjud bo'lgan xavfsizlik muammolari va yopiq kuchli nuqtalarini aniqlashga yordam beradi.



    2. Penetratsiya testi, tarmoqqa kirish uchun xavfsizlikni tekshirishni maqsad qiladi. Bu testda xakkerlar yoki xavfsizlik mutaxassislarining dasturiy vositalar orqali tarmoqqa kirishga harakat qilishga urinish qilinadi. Bu usul orqali xavfsizlik muammolari aniqlanib, ularni bartaraf etish uchun tavsiyalar beriladi.

    3. Zed Attack Proxy (ZAP), dasturlar va veb-saytlarning xavfsizlik tekshiruvi uchun foydalaniladigan ochiq manba kodli bir xavfsizlik skanner va pen-test asbobi. ZAP, HTTP va HTTPS protokollari orqali trafikni eslab turadi, xavfsizlik muammolarini aniqlaydi va foydalanuvchilarga ularga duch keladigan tavsiyalar beradi. Bu vosita dasturiy ta'minot xavfsizligini tekshirishda yaxshi natijalar ko'rsatadi.
    Download 306.51 Kb.




    Download 306.51 Kb.
    Bosh sahifa
    Aloqalar
        Bosh sahifa
    Dərs
    Mühazirə
    Qaydalar
    Referat
    Xülasə
    Yazı


    2 amaliy ish Mavzu: owasp zap dasturi yordamida tizimni xavfsizlikka testlash. Ishdan maqsad

    Download 306.51 Kb.