При создании приложений API или внешнего интерфейса отчасти необходимо убедиться, что они не уязвимы для атак. Но как бы мы ни были осторожны, есть случаи, когда что-то будет упущено. Одним из инструментов для уменьшения этого является использование ZAP. Этот инструмент можно использовать для сканирования нашего URL-адреса, выявления лазеек в системе безопасности и создания отчета на основе его результатов. И с этим мы можем решить что-то исправить, в зависимости от серьезности.

Использование Zed Attack Proxy (ZAP)

Вы можете скачать инструмент с zaproxy. Установка проста.

После установки запустите приложение, чтобы мы могли начать сканирование.

Сканирование

  1. В быстром старте. Введите URL вашего приложения. Для веб-интерфейсов это должна быть главная страница. Для API это должна быть ссылка на документацию API Swagger.
  2. Нажмите кнопку Attack. Это начнет атаковать URL-адрес различными запросами. Это займет некоторое время, чтобы закончить.
  3. Проверьте оповещения. Вы заметите, что отчеты будут иметь некоторые серьезности. Возможно, вы захотите исправить некоторые проблемы medium и выше.

Генерация отчета

После того, как вы сгенерировали несколько предупреждений. Вы можете экспортировать эти результаты, нажав второй значок справа вверху. Значок выглядит как блокнот. Сгенерированный файл имеет формат HTML.

Изменения параметров

Прямое сканирование — это нормально, но иногда требовалась некоторая пользовательская настройка входных данных, таких как токены или поля формы, чтобы сделать сканирование более эффективным. Проверьте следующее

  • Поля формы. В настройках найдите Form Handler. В нем мы можем передавать параметры нашим полям ввода. Имя поля соответствует нашему входному идентификатору программно.
  • Значения заголовка. В настройках найдите Replacer. Итак, чтобы добавить заголовок, введите имя ключа заголовка в файле Match String. например x-api-key. Затем в Replacement находится значение ключа заголовка. Не забудьте включить его перед сканированием.