Mit Hilfe von OWASP Zed Attack Proxy (ZAP) ist es möglich den Browser- und App-Traffic automatisiert nach kritischen Lücken zu durchsuchen und so auch Programmierfehler zu finden.
Zed Attack Proxy ist eine Open Source Software, welche von Sicherheitsforschern entwickelt wird. Mit Hilfe einer bereitgestellten VM (Virtuelle Maschine) OWASP BROKEN WEB APPLICATIONS PROJECT, welche eine Demo-Website mit absichtlichen Sicherheitslücken enthält, kann ZAP ohne Einschränkungen gestest werden.
So ist es zum Beispiel möglich, mit Hilfe von
- Command Injection eine web shell zu starten und somit Zugriff auf den Server zu gelangen. Dies lässt sich verhindern, indem man alle Benutzereingaben validiert (Shell-Escapes und Sonderzeichen entfernen) und nur Befehle zulässt, welche zwingend erforderlich sind.
- XSS bzw. Cross-Site-Scripting eigenen Code auf einer fremden Webseite temporär oder dauerhaft unterzubringen. Auch hier sollten Benutzereingaben validiert werden, um z.B. bei "Gästebucheinträgen" folgendes <script>document.location = "http://www.hacked.com";</script> zu verhindern.
- SQL-Injection Code in SQL-Anweisungen über Webseiteneingaben auszuführen, um in die SQL-Abfragen einzugreifen, welche an die Datenbank gesendet werden. Zum Beispiel User: admin Passwort: ' or '1'='1 => SELECT * FROM users WHERE name='admin' and password='' or '1'='1' => Passwort für admin wird nicht benötigt!
Weitere Hacking-Tools finden sich auch in meinem Beitrag Hacking - Nützliche Tools (PassView, Windows Login Unlocker, Recovery, Process Hacker, Network Sniffer).