วิธีติดตั้ง OWASP ZAP บน Ubuntu
โพสต์เมื่อ 2017-04-03
โดย PoundXI
วิธีติดตั้ง OWASP ZAP
1. ดาวน์โหลด OWASP ZAP เวอร์ชั่น 2.7.0 ที่เป็นไฟล์ archive ไปไว้ที่ไดเรคทอรี่ /tmp
wget -c -P /tmp https://github.com/zaproxy/zaproxy/releases/download/2.7.0/ZAP_2.7.0_Linux.tar.gz
2. extract ไฟล์ archive ไปไว้ที่ไดเรคทอรี่ /opt
sudo tar xvf /tmp/ZAP_2.7.0_Linux.tar.gz -C /opt
3. ถึงตอนนี้ก็ติดตั้งเสร็จแล้วครับ, เริ่มต้นใช้งาน OWASP ZAP ได้เลย
/opt/ZAP_2.7.0/zap.sh
การตั้งค่า OWASP ZAP เบื้องต้น
วิธีติดตั้ง Root CA certificate บน Web Browser
ปัญหาที่เราจะพบเมื่อเราไม่ติดตั้ง Root CA certificate บน Web Browser เอาไว้ คือ เมื่อเราเข้าเว็บไซต์ที่เป็น HTTPS จะมีข้อความแจ้งเตือนเกี่ยวกับ invalid security certificate แบบในรูปครับ
*** วิธีแก้ไข คือ Export Root CA certificate ออกมาจากโปรแกรม OWASP ZAP แล้วเอาไปติดตั้งลงบน Web Browser ครับ ***
วิธี Export Root CA certificate
- เปิดโปรแกรม OWASP ZAP
- ไปที่เมนู Tools > Options > Dynamic SSL Certificates
- คลิ๊กปุ่ม Save เพื่อ Export ไฟล์ Root CA certificate ออกมา (จำไว้ด้วยครับ ว่าเราตั้งชื่อไฟล์ว่าอะไร แล้วบันทึกไว้ที่ไหน)
วิธีติดตั้ง Root CA certificate บน Firefox
- เปิดโปรแกรม Firefox
- พิมพ์ about:preferences ที่ address bar แล้วกดปุ่ม Enter
- ไปที่ Advanced > Certificates > View Certificates > Authorities
- กดปุ่ม Import แล้วเลือกไฟล์ Root CA certificate ที่เราเพิ่ง Export ออกมา
- จากนั้นจะมีหน้าต่างใหม่โผล่ขึ้นมา คลิ๊กให้มีเครื่องหมายถูกที่ Trust this CA to identify websites จากนั้นกดปุ่ม OK
วิธีแก้ปัญหา OWASP ZAP มีสถานะเป็น Always on Top เมื่อ Traffic ถูก Intercept
- เปิดโปรแกรม OWASP ZAP
- ไปที่เมนู Tools > Options > Breakpoints
- คลิ๊กเอาเครื่องหมายถูกออกที่ ZAP always on top when breakpoint hit
- คลิ๊กปุ่ม OK
วิธีตั้งค่า Firefox ให้ใช้งาน OWASP ZAP เป็น Proxy
- เปิดโปรแกรม Firefox
- พิมพ์ about:preferences ที่ address bar แล้วกดปุ่ม Enter
- ไปที่ Advanced > Network > Connection > Settings
- เลือก Manual proxy configuration
- กำหนด HTTP Proxy=127.0.0.1, Port=8080
- คลิ๊กให้มีเครื่องหมายถูกที่ Use this proxy server for all protocols
- ตรง No Proxy for ลบออกให้หมด หากจะใช้ OWASP ZAP เพื่อทดสอบกับ localhost หรือ 127.0.0.1 ด้วย
- กดปุ่ม OK
วิธีทำให้ OWASP ZAP ใช้ Tor เป็น Proxy
1. สร้างไฟล์สำหรับเรียกใช้งาน OWASP ZAP ที่ใช้ Tor เป็น Proxy ชื่อว่า zap-tor.sh
sudo cp /opt/ZAP_2.7.0/zap.sh /opt/ZAP_2.7.0/zap-tor.sh
2. แก้ไขไฟล์ zap-tor.sh ให้ใช้ Tor เป็น Proxy โดยส่งผ่าน option ไปที่ JVM (ZAP เป็น JAVA application)
sudo sed 's/exec java ${JMEM}/exec java -DsocksProxyHost=127.0.0.1 -DsocksProxyPort=9050 ${JMEM}/g' -i /opt/ZAP_2.7.0/zap-tor.sh
3. เรียกใช้งาน OWASP ZAP ที่ใช้ Tor เป็น Proxy
/opt/ZAP_2.7.0/zap-tor.sh
ข้อมูลเพิ่มเติม
- https://en.wikipedia.org/wiki/OWASP
- การออกเสียงคำว่า OWASP
- OWASP Zed Attack Proxy Project
- The OWASP ZAP core project
- Downloads · zaproxy/zaproxy Wiki
- official ZAP Linux Repos
โพสต์ที่เกี่ยวข้อง
ความคิดเห็น
ยังไม่มีความคิดเห็น