Vì sao người dùng học thường chọn Owasp zap:

OWASP ZAP được người dùng biết đến nhiều nhất với tính năng quét lỗi bảo mật
của ứng dụng web, mã nguồn mở 1. Chức năng chính của OWASP ZAP chính là
giúp doanh nghiệp tìm ra các lỗ hổng bảo mật web một cách tự động Ngoài ra, dự
án này còn được cộng đồng đánh giá là dự án bảo mật ứng dụng web mã nguồn mở
hoạt động tích cực và liên tục cập nhật trạng mới.
Sử dụng phần mềm Owasp zap là một công cụ mạnh có khả năng dựng một cuộc
tấn công thử nghiệm vào hệ thống của mình để kiểm tra khả năng chịu đựng. Các
cuộc tấn công này được thiết kế sao cho đảm bảo độ an toàn tin cậy của các bài
test, nhắm vào nhiều vấn đề từ phổ biến đến những lỗi hiếm gặp, được tái hiện đầy
đủ. Các tình huống đó đến từ kinh nghiệm tích lũy của nhóm nhiều thành viên trên
khắp thế giới. Owasp Zap hoạt động nhanh và chính xác, thao tác dễ dàng cách
hoạt động mô phỏng lại các cuộc tấn công đến ước lượng sức chịu đựng của app,
có lẽ mà đây là lý do mọi người chọn Owasp làm công cụ xác định lỗ hổng bảo
mật, các tấn công đa dạng và nguy hiểm.

Owasp zap là gì?

+ Owasp zap là tool test security
+ Owasp zap the open web application security project là một dự án được cả cộng
đồng chung tay tham gia, giúp các tổ chức có thể phát triển mở or bảo trì các ứng
dụng ở trạng thái an toàn
+ được người dùng biết đến nhiều nhất với tính năng, quét lỗi bảo mật của ứng
dụng web, mã nguồn mở.
Có 2 chế độ đó là: Automated Scan và Manual Expore
ưu điểm của Owasp:
+ là mã nguồn mở
+ các công cụ đạt chuẩn về an toàn thông tin
+ thực hiện chính sách kiểm tra về bảo mật, an toàn cho mã nguồn
+ sử dụng hoàn toàn miễn phí
+ ứng dụng đa nền tảng
+ dễ dàng cài đặt và sử dụng
+ cho phép triển khai sử dụng nhiều ngôn ngữ
+ quét tự động
+ tự động cập nhập nhiều tính năng cho người dùng
nhược điểm của Owasp:
- khả năng bị tiêm nhiễm mã độc
- tính sai lầm trong việc kiểm tra định danh cũng như các phiên làm việc
- thực thi mã Script xấu
- cấu hình an ninh có thể bị sai
- có thể bị lộ cấu hình nhảy cảm
- đôi khi còn bị mất kiểm soát mức độ truy cập chức năng
- giả mạo yêu cầu, chuyển hướng không an toàn
- bị tấn công khi sử dụng các thành phần với những lỗ hổng bảo mật.
cách thiết lập cho Owasp zap:
Chọn Tools và tìm đến Options, sẽ có một màn hình khác xuất hiện trên màn hình.
Tại đây, ta sẽ thiết lập Address và Port. Mặc định của Address là localhost:8080,
Port là 8080. Trường hợp đã có ứng dụng khác sử dụng cổng 8080 rồi, bạn có thẻ
thay đổi một cổng khác tùy ý, sau đó lưu lại thiết lập.

+ Test web http://dev.duytan.edu.vn:8138/ bằng Owasp Zap

Chúng ta dán đường link web cần test vào trong ô URL như hình bên dưới
và sau đó tích vào ô Use ajax spider vào bấm vào tấn công.

Sau đó chúng ta chờ sau khi nó quét xong

Sau khi quét xong thì chúng ta vào Alerts đây là các lỗi mà Owasp đã quét ra
ở bên dưới có 4 lá cờ đó là những mức độ lỗ hổng mà Owasp quét được ở các mức
độ