הקדמה
OWASP ZAP הנה תוכנה שמתנהגת כפרוקסי, המאפשרת לתעל דרכה בקשות (HTTP/HTTPS), לפרסר אותם, לנגן אותם מחדש ועוד. מעבר לפרוקסי ישנן אפשרויות של אוטומציות, בדיקות חדירות ועוד. בפוסט זה אסקור את תהליך ההתקנה (על VM שמריץ Debian 12).
אזהרה
אין להשתמש בתוכנה על אתרים שלא התירו לכם לעשות כן מראש, במיוחד כאשר אתם לא במצב ‘Safe’.
מערכת הפעלה: לינוקס, דביאן 12
גרסה: ZAP 2.13.0
התקנה
ראשית וודאו כי יש לכם Java מותקן, ZAP צריכה Java 11 ומעלה. עם דביאן אפשר להתקין בקלות OpenJDK 17, וכך נעשה.
sudo apt install openjdk-17-jdk
לאחר שהתקנו ג’אווה, ניגש לעמוד ההורדות, ונוריד את ה-Linux Installer, במקרה הזה גרסה 2.13.0.
wget https://github.com/zaproxy/zaproxy/releases/download/v2.13.0/ZAP_2_13_0_unix.sh
כאשר ההורדה הסתיימה בהצלחה, נריץ את ה-shell סקריפט כרוט.
sudo bash ZAP_2_13_0_unix.sh
נעקוב אחר ההוראות שמופיעות על המסך, ובסיומם התוכנה תותקן על-פי מה שקבענו.
הרצה
אם השתמשנו בהגדרות ברירות מחדל של ההתקנה, הבינארי ימצא ב-/usr/local/bin/zap.sh, ואפשר גם למצוא אותו בקיצורי דרך של הממשק גרפי בו אתם עושים שימוש. אפשר לקרוא לדפדפן דרך ZAP, ואז הוא גם יגדיר עבורנו אוטומטית את הדפדפן, להתעלם משגיאות הקשורות ב-MITM. הוא גם יבצע UI Overlay שיעזור בתהליכים מסויימים.
יצוא תעודת CA
אם נרצה ליצא את התעודה, בכדי להשתמש בה בתוכנות אחרות שיתעלו את התעבורה דרך ZAP, נוכל למצוא אותה ב-Options → Connections → Server Certificates.
נשמור אותה, ולאחר מכן נוכל לייבא אותה לאפליקציות אחרות.
פתיחת הפרוקסי לרשת המקומית
במצב ברירת מחדל של ZAP, הוא יאזין על localhost, משמע רק חיבורים לוקאלים יתאפשרו, אתם יכולים לשנות את ההגדרה תחת Options → Connections → Local Servers/Proxies.
