Security-Auditing für Webanwendungen mit Zed Attack Proxy

Tools wie Zed Attack Proxy (ZAP) [1] lassen sich zwar dazu nutzen, um Sicherheitslücken in Webanwendungen zu entdecken. Solche Tools können aber kein Ersatz für eine grundlegende Sicherheitsstrategie von Webanwendungen sein. Zed Attack Proxy dient eher als Zusatztool, um eine bestehende Sicherheitsinfrastruktur und die Webanwendungen zu testen. Ein Vorteil von ZAP ist die einfache und schnelle Installation, wenn Sie zum Beispiel die Windows-Variante herunterladen. Sie benötigen auf den Servern, die Sie testen, keinen Agenten und müssen auch keine Änderungen vornehmen.

Das vom Open Web Application Security Project (OWASP) [2] stammende ZAP können Sie mit Linux, OS X und Windows betreiben. Die Windows- und Linux-Versionen setzen Java 7 voraus. Die Datei für OS X bringt Java 7 gleich mit. Wer das nicht möchte, sollte das Cross-Platform-Paket herunterladen. Die wichtigsten Funktionen von ZAP finden Sie in der Tabelle.

In den nachfolgenden Abschnitten zeigen wir, wie Sie das Tool installieren und einsetzen. Wir führen die Installation auf einem Rechner mit Windows Server 2012 R2 durch.

Basis-Installation von ZAP durchführen

Um ZAP auf einem Windows-Rechner zu betreiben, laden Sie sich die Installationsdatei herunter. Während der Installation müssen Sie nur die Lizenzbedingungen bestätigen, den Pfad der Installation eingeben und sich für die Anzeige im Startmenü entscheiden. Nach wenigen Sekunden ist ZAP installiert. Danach startet die grafische Oberfläche (Bild 1) und Sie können gleich mit den ersten Tests beginnen. Dazu geben Sie auf der Registerkarte "Schnellstart" die URL der Webanwendung an, die Sie überprüfen wollen, und klicken danach auf "Angriff". Anschließend startet ZAP mit einem Scan und zeigt die Ergebnisse im Fenster an (Bild 2). Links sehen Sie den Datenverkehr, in der Mitte die anzugreifende URL und unten den Status des

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.