Chào mọi người!
Lần này mình trở lại với chủ đề cũng không kém phần thú vị, đó là Security Test. Cụ thể ở đây mình sẽ hướng dẫn mọi người sử dụng OWASP ZAP.
Đầu tiên thì bạn cần download OWASP ZAP về và cài đặt ở máy. Mình sẽ không hướng dẫn chỗ này, bạn hãy tìm kiếm và tự cài đặt nhé.
Ở bài viết này mình sẽ hướng dẫn việc connect giữa POSTMAN và OWASP ZAP trên MacOS.
2. Tiếp đến chọn Local Proxies > Go to New Screen
Khi đó sẽ chuyển bạn đến Network > Local Servers/Proxies
Tại đây mình có thể add thêm Proxy bằng cách bấm Add…
Lúc này cửa sổ Add Local Server/Proxy sẽ mở ra, ta điền vào 2 thông số:
– Address: localhost
– Port: 8855 (Có thể sử dụng port khác tùy bạn, ở đây mình dùng port này)
Tiếp tục bấm Add để lưu.
3. Bây giờ hãy mở POSTMAN lên và đi đến setting
3.1 Chọn tab Proxy và turn ON đối với mục Use custom proxy configuration
3.2 Tiếp đến điền vào những giá trị tại Proxy server lần lượt localhost và 8855 (giống với giá trị đã setting tại OWASP ZAP)
4. Sử dụng POSTMAN gọi API. Khi đó tất cả các API bạn gọi ở POSTMAN sẽ được thêm vào mục Sites trong OWASP ZAP.
5. Như vậy đã setting xong, giờ mình sẽ hướng dẫn Scan ở OWASP ZAP.
5.1 Bấm chuột phải vào domain và chọn Attack.
Trước khi Scan, hãy chuyển sang Protected Mode. Vì khi khởi động sẽ set chế độ mặc định là Standard.
– Owasp Zap có 4 chế độ quét. Nếu chọn các chế độ Standard hoặc Attack thì khả năng cao là hacker sẽ tấn công vào các trang web mà người dùng không thể quản lí. Và nếu chọn Safe, thì không scan được toàn bộ lỗ hổng có trên web.
– Đối với chế độ Protected Mode thì khi chọn Attack sẽ không được kích hoạt.
Lúc này bạn cần tạo Context bằng cách bấm chuột phải và chọn Include in Context > New Context.
– Cửa sổ Session Properties sẽ hiển thị, bấm OK để đóng, hoặc có thể thay đổi thông số nếu muốn.
– Khi đó, URL sẽ được Include vào file Context. Lúc này vòng tròn màu đỏ sẽ xuất hiện trước mỗi API.
Bây giờ bạn có thể thực hiện Scan rồi.
5.2 Bấm chuột phải vào domain rồi chọn Attack, sau đó chọn Active Scan. Và cửa sổ Active Scan sẽ hiện ra. Tiếp tục bấm Start Scan để quét.
5.3 Tiến trình Scan sẽ bắt đầu.
Bấm vào Show scan progress details để hiển thị danh sách những hạng mục injection đang quét.
Việc quét sẽ được thực hiện từ đầu đến cuối cho đến hết các hạng mục có trong đó.
5.4 Trong mục Active Scan, bấm vào 1 dòng bất kì, bạn sẽ thấy OWASP ZAP đã giả lập để tấn công và tìm lỗ hổng trong toàn bộ ứng dụng của bạn. Có thể thấy ở tab Request và Response sẽ hiển thị rõ những thông tin giả lập đó.
5.5 Bạn có thể theo dõi ở tab Alerts để xem những lỗi OWASP ZAP đề xuất.
6. Có thể xuất report để đưa cho team DEV xem rồi fix.
6.1 Bấm Report > Generate Report …
6.2 Có thể thay đổi Report Name nếu muốn, sau đó bấm Generate Report.
6.3 Report sẽ hiển thị bởi file HTML. Chứa rất nhiều thông số, ở đây mình chỉ chụp màn hình một phần nhỏ thôi.
7. Một số lưu ý:
– Không phải lúc nào kết quả của OWASP ZAP cũng chính xác. Có trường hợp không phải lỗ hổng nhưng vẫn báo. Vì thế, chúng ta cần phải kiểm tra lại 1 lần nữa cho chắc chắn.
– Đừng quên turn OFF thiết lập Proxy trong Postman về mặc định sau khi bạn sử dụng xong OWASP ZAP nhé.
Cảm ơn bạn đã dành thời gian theo dõi! Hi vọng bài viết sẽ giúp ích cho bạn.
😇 Copy xin vui lòng ghi nguồn nhá 😇