Security-Auditing für Webanwendungen mit Zed Attack Proxy

Zum Angriff

Jeder, der eine Webanwendung betreibt, muss mit Sicherheitslücken kämpfen. Vor allem bei Webshops, Blogs, Wikis oder Webseiten mit Authentifizierung besteht die Gefahr, dass Kundendaten an Unbefugte gelangen. In diesem Beitrag stellen wir Ihnen das Open-Source-Tool Zed Attack Proxy vor, das dabei hilft, Schwachstellen zu finden. Es bietet umfassende Sicherheitsanalysen und Tests für verschiedene Arten von Webangriffen.
Täglich prasseln verschiedenste Angriffe auf die IT-Systeme von Unternehmen ein. Die breite Masse lässt sich zwar mit Standardmitteln wie Virenscannern ... (mehr)

Tools wie Zed Attack Proxy (ZAP) [1] lassen sich zwar dazu nutzen, um Sicherheitslücken in Webanwendungen zu entdecken. Solche Tools können aber kein Ersatz für eine grundlegende Sicherheitsstrategie von Webanwendungen sein. Zed Attack Proxy dient eher als Zusatztool, um eine bestehende Sicherheitsinfrastruktur und die Webanwendungen zu testen. Ein Vorteil von ZAP ist die einfache und schnelle Installation, wenn Sie zum Beispiel die Windows-Variante herunterladen. Sie benötigen auf den Servern, die Sie testen, keinen Agenten und müssen auch keine Änderungen vornehmen.

Das vom Open Web Application Security Project (OWASP) [2] stammende ZAP können Sie mit Linux, OS X und Windows betreiben. Die Windows- und Linux-Versionen setzen Java 7 voraus. Die Datei für OS X bringt Java 7 gleich mit. Wer das nicht möchte, sollte das Cross-Platform-Paket herunterladen. Die wichtigsten Funktionen von ZAP finden Sie in der Tabelle.

In den nachfolgenden Abschnitten zeigen wir, wie Sie das Tool installieren und einsetzen. Wir führen die Installation auf einem Rechner mit Windows Server 2012 R2 durch.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023