Security-Auditing für Webanwendungen mit Zed Attack Proxy

Zum Angriff

Jeder, der eine Webanwendung betreibt, muss mit Sicherheitslücken kämpfen. Vor allem bei Webshops, Blogs, Wikis oder Webseiten mit Authentifizierung besteht die Gefahr, dass Kundendaten an Unbefugte gelangen. In diesem Beitrag stellen wir Ihnen das Open-Source-Tool Zed Attack Proxy vor, das dabei hilft, Schwachstellen zu finden. Es bietet umfassende Sicherheitsanalysen und Tests für verschiedene Arten von Webangriffen.
Täglich prasseln verschiedenste Angriffe auf die IT-Systeme von Unternehmen ein. Die breite Masse lässt sich zwar mit Standardmitteln wie Virenscannern ... (mehr)

Tools wie Zed Attack Proxy (ZAP) [1] lassen sich zwar dazu nutzen, um Sicherheitslücken in Webanwendungen zu entdecken. Solche Tools können aber kein Ersatz für eine grundlegende Sicherheitsstrategie von Webanwendungen sein. Zed Attack Proxy dient eher als Zusatztool, um eine bestehende Sicherheitsinfrastruktur und die Webanwendungen zu testen. Ein Vorteil von ZAP ist die einfache und schnelle Installation, wenn Sie zum Beispiel die Windows-Variante herunterladen. Sie benötigen auf den Servern, die Sie testen, keinen Agenten und müssen auch keine Änderungen vornehmen.

Das vom Open Web Application Security Project (OWASP) [2] stammende ZAP können Sie mit Linux, OS X und Windows betreiben. Die Windows- und Linux-Versionen setzen Java 7 voraus. Die Datei für OS X bringt Java 7 gleich mit. Wer das nicht möchte, sollte das Cross-Platform-Paket herunterladen. Die wichtigsten Funktionen von ZAP finden Sie in der Tabelle.

In den nachfolgenden Abschnitten zeigen wir, wie Sie das Tool installieren und einsetzen. Wir führen die Installation auf einem Rechner mit Windows Server 2012 R2 durch.

Basis-Installation von ZAP durchführen

Um ZAP auf einem Windows-Rechner zu betreiben, laden Sie sich die Installationsdatei herunter. Während der Installation müssen Sie nur die Lizenzbedingungen bestätigen, den Pfad der Installation eingeben und sich für die Anzeige im Startmenü entscheiden. Nach wenigen Sekunden ist ZAP installiert. Danach startet die grafische Oberfläche (Bild 1) und Sie können gleich mit den ersten Tests beginnen. Dazu geben Sie auf der Registerkarte "Schnellstart" die URL der Webanwendung an, die Sie überprüfen wollen, und klicken danach auf "Angriff". Anschließend startet ZAP mit einem Scan und zeigt die Ergebnisse im Fenster an (Bild 2). Links sehen Sie den Datenverkehr, in der Mitte die anzugreifende URL und unten den Status des

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite