tags: OWASP_ZAP ZAProxy bruteforce
Tramite OWASP ZAP è possibile fare attacchi bruteforce in modo simile a quelli che si effettuano con BurpSuite, ma con la differenza che essendo open source non viene limitato il tempo per ogni richiesta e quindi utilizza tutta la potenza del computer disponibile, per effettuare l’attacco dobbiamo intercettare la richiesta di login esattamente come per BurpSuite il browser deve essere configurato con il proxy 127.0.0.1 8080, se è un pagina HTTPS dobbiamo configurare pure il certificato con i seguenti passaggi:
-
Con ZAP aperto e il proxy configurato, visita l’indirizzo
http://zap. -
Clicca sul link per scaricare il certificato (
crt). -
Vai nelle impostazioni del tuo browser, cerca la sezione “Certificati”, clicca su “Importa” e seleziona il file appena scaricato. Assicurati di spuntare la casella “Considera attendibile questa CA per identificare siti web”.
Una volta configurato possiamo intercettare le richieste che verranno salvate nella sezione History, una volta trovata la richiesta corretta possiamo fare click destro → Attack → Fuzz,
nella finestra del Fuzzer, la parte in alto mostra i dati della richiesta. Vedrai i parametri che hai inviato, come username=wiener&password=test.
Evidenzia con il mouse il valore del parametro che vuoi attaccare, clicca sul pulsante “Add…” due volte e seleziona come Type File per un attacco a dizionario, dopo aver eseguito questi passaggi lancia Start Fuzzer e l’attacco apparirà esattamente come in BurpSuite.
Si possono anche inserire più parametri come per esempio username e password, lui proverà per ogni username tutte le password di default.