8 - amaliy ish
Mavzu: OWASP ZAP dasturi yordamida tizimni xavfsizlikka testlash.
Ishdan maqsad: OWASP ZAP dasturi yordamida tizimni xavfsizlikka
testlash ko‘rikmasini shakllantirish
.
Nazariy qism
Xavfsizlik testlari asoslari. Dasturiy ta'minot xavfsizligi
testi - bu tizim va
uning ma'lumotlarining xavfsizlik xavflari va zaifliklarini aniqlash uchun tizimni
baholash va sinovdan o'tkazish jarayoni. ZAP testni zaifliklarni aniqlash va ulardan
foydalanishga urinish sifatida belgilaydi.
Xavfsizlik testi ko'pincha sinovdan o'tkazilayotgan zaiflik turiga yoki sinov
turiga qarab amalga oshiriladi. Umumiy testlash turlari:
Zaiflikni baholash - tizim xavfsizlik muammolari uchun skanerdan o'tkaziladi
va tahlil qilinadi.
Penetratsiya testi - tizim zararli hujumchilar tomonidan
tahlil va hujumdan
o'tadi.
Runtime testi - tizim oxirgi foydalanuvchi tomonidan tahlil va xavfsizlik
sinovidan o'tadi.
Kod analizi- tizim kodi batafsil ko'rib chiqiladi
va xavfsizlikning zaif
tomonlarini aniqlash uchun tahlil qilinadi.
ZAP haqida qisqacha ma’lumot. Zed Attack Proxy (ZAP) - bu kirib boorish
testini (
penetration testing
) amalga oshirish uchun ochiq loyihasi bo‘lib, OWASP
kompaniyasi mahsuloti hisoblanadi. ZAP veb-ilovalarni tahdidlarda testlash uchun
maxsus ishlab chiqilgan.
ZAPni “
man-in-the-middle proxy
” deb nomlanuvchi hokum turi deb tushunsa
bo‘ladi. U testerning brauzeri va veb-ilovasi o'rtasida joylashgan bo'lib, u brauzer va
veb-ilova o'rtasida yuborilgan xabarlarni ushlab turishi va tekshirishi,
kerak
bo'lganda tarkibni o'zgartirishi va keyin ushbu paketlarni belgilangan joyga
yo'naltirishi mumkin.
13.1 – rasm. ZAP dasturi mantiqiy joylashuvi.
Agar boshqa tarmoq proksi-serveri allaqachon ishlatilayotgan bo'lsa, ko'pgina
korporativ muhitlarda bo'lgani kabi, ZAP ushbu proksi-serverga
ulanish uchun
sozlanishi mumkin.
13.2 – rasm. ZAP dasturi proxy serveri mantiqiy joylashuvi.
ZAP turli kvalifikatsiya darajalari uchun funksional imkoniyatlar taqdim
qiladi, dasturchidan tortib xavfsizlik testerigacha. ZAP
har bir asosiy operatsion
tizim va Docker uchun versiyalarga ega, shuning uchun bitta operatsion tizim bilan
bog'lanib qolinmaydi.
Amaliy qism
ZAP Desktop UI quyidagi elementlardan iborat:
1. Menyu paneli - ko'plab avtomatlashtirilgan va qo'lda ishlaydigan
vositalarga kirishni ta'minlaydi.
2. Toolbar paneli - eng ko'p ishlatiladigan xususiyatlarga oson kirishni
ta'minlaydigan tugmalarni o'z ichiga oladi.
3. Tree Windows - saytlar daraxti va skriptlar daraxtini ko'rsatadi.
4. Ish maydoni oynasi - so'rovlar, javoblar va skriptlarni ko'rsatadi va
ularni
tahrirlash imkonini beradi.
5. Ma'lumot oynasi - avtomatlashtirilgan va qo'lda ishlaydigan toollarning
tafsilotlarini ko'rsatadi.
6. Footer- topilgan tahdidlarning qisqacha mazmunini va asosiy
avtomatlashtirilgan toollar holatini ko'rsatadi.
13.3 – rasm. ZAP dasturi ishchi oynasi.
Avtomatlashtirilgan skanerlashni ishga tushirish
ZAP-dan foydalanishni boshlashning eng oson yo'li Quick Start yorlig'i orqali
amalga oshiriladi. Quick start - bu ZAP qo'shimchasi bo'lib,
siz ZAP
o'rnatganingizda avtomatik ravishda qo'shiladi.
Quick start avtomatik skanerlashni ishga tushirish uchun:
1. ZAP-ni ishga tushiring va ish maydoni oynasining Quick start yorlig'ini
bosing;
2. Katta avtomatlashtirilgan skanerlash tugmasini bosing;
3. Hujum qilish uchun URL matn maydoniga hujum qilmoqchi bo'lgan veb-
ilovaning to'liq URL manzilini kiriting;
4. Hujum tugmasini bosing.
13.3 – rasm. ZAP dasturi ogohlantirish yozuvining umumiy ko‘rinishi.
Topshiriq
Berilgan variant bo‘yicha web sahifalar
tahdidlarga nisbatan
kamchiliklarini aniqlash.
Nazorat savollari
1. Dasturiy ta'minot xavfsizligi testi
2. Penetratsiya testi nima
3.
Zed Attack Proxy (ZAP) nima