CSC

CRIPTOGRAFIE ȘI SECURITATE CIBERNETICĂ

Laborator

10. Vulnerabilități ale aplicațiilor web. Proiecte OWASP.

Vulnerabilități ale aplicațiilor web. Proiecte OWASP.

OWASP - Open Web Application Security Project

OWASP

OWASP Zed Attack Proxy Project

OWASP ZAP – Getting Started (zaproxy.org)

Instalare ZAP si parcurgere tutorialul Heads Up Display (HUD)

For a quick overview of ZAP and an introduction to the official ZAP Jenkins plugin see these tutorial videos on YouTube:

1 Instalați local o versiune a unui server WEB

de ex.:

Apache HTTP, Microsoft IIS etc.

sau alte servere web [2], [3]

- initializare server web

2 Selecție instrument de testare

de ex.:

Open Source Black Box Testing tools

General Testing

OWASP ZAP
- The Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications. It is designed to be used by people with a wide range of security experience and as such is ideal for developers and functional testers who are new to penetration testing.
- ZAP provides automated scanners as well as a set of tools that allow you to find security vulnerabilities manually.

ZAP

Alte instrumente [1]

3 Selecție procedura de testare

de ex.:

OWASP Testing Guide

OWASP Testing Guide v4 ToC: https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents OWASP Testing Guide Project: https://www.owasp.org/index.php/OWASP_Testing_Project

4 Dezvoltare - testare

Dezvoltați un site web având un formular de login.

Faceți teste cu ZAP

Identificați soluții pentru vulnerabilitățile web depistate

Atenție!

NU testați site-uri, servere, destinații pentru care NU aveți autorizație

(faceți teste doar local)

Referințe:

[1] Testing_Tools

[2] Web servers

[3] Comparison of web server software