OWASP ZAP et Burp Suite

Sécurité des applications Web avec OWASP ZAP et Burp Suite

Notions théoriques

Qu’est-ce que OWASP ZAP ?

OWASP ZAP (Zed Attack Proxy) est un outil open-source développé par l’OWASP (Open Web Application Security Project).

Il est utilisé pour tester la sécurité des applications Web.

Pourquoi utiliser ZAP ?

• Il permet d’analyser les failles de sécurité d’un site Web.
• Il est gratuit et facile à utiliser.
• Il aide à détecter des vulnérabilités comme les injections SQL, les XSS (Cross-Site Scripting) et les failles d’authentification.

Comment fonctionne ZAP ?

1. Il agit comme un proxy entre le navigateur et le serveur Web.
2. Il intercepte et analyse les requêtes HTTP envoyées par le navigateur.
3. Il permet d’exécuter des scans automatiques pour détecter des vulnérabilités.
4. Il donne un rapport détaillé des failles trouvées.

Qu’est-ce que Burp Suite ?

Burp Suite est un autre outil puissant pour tester la sécurité des applications Web.

remarque

Burp Suite est très utilisé par les professionnels de la cybersécurité.

Pourquoi utiliser Burp Suite ?

• Il permet d’intercepter et de modifier les requêtes HTTP.
• Il propose des outils avancés comme Intruder (pour tester les attaques par force brute) et Repeater (pour rejouer des requêtes).
• Il est utilisé pour des tests plus approfondis que ZAP.

Différences entre OWASP ZAP et Burp Suite

Critère	OWASP ZAP	Burp Suite
Prix	Gratuit	Version gratuite et payante
Facilité d’utilisation	Facile	Plus complexe
Utilisation	Débutants et experts	Principalement pour les experts
Fonctionnalités avancées	Moins nombreuses	Plus complètes

---

Exemple pratique

Scanner un site Web avec OWASP ZAP

Nous allons utiliser OWASP ZAP pour analyser la sécurité d’un site Web en local.

1) Installer OWASP ZAP

Sur Kali Linux, tapez :

sudo apt install zaproxy -y

Une fois installé, lancez-le avec :

zap

2) Configurer OWASP ZAP comme proxy

1. Ouvrez votre navigateur (Firefox recommandé).
2. Allez dans Paramètres > Réseau > Proxy.
3. Configurez le proxy sur localhost:8080 (OWASP ZAP écoute sur ce port).

3) Intercepter le trafic

1. Dans OWASP ZAP, cliquez sur Mode Intercept.
2. Ouvrez un site Web dans votre navigateur (exemple : http://testphp.vulnweb.com).
3. OWASP ZAP va capturer toutes les requêtes HTTP envoyées par votre navigateur.

4) Lancer un scan de sécurité

1. Dans OWASP ZAP, entrez l’URL du site cible.
2. Cliquez sur Attack > Active Scan.
3. Attendez la fin du scan et observez les résultats.

• Résultat attendu : OWASP ZAP affiche une liste de vulnérabilités trouvées sur le site.

---

Test de mémorisation/compréhension

Quel est le rôle principal d'OWASP ZAP ?

Créer des sites Web

Tester la sécurité des applications Web

Scanner les réseaux Wi-Fi

Comment OWASP ZAP intercepte-t-il les requêtes HTTP ?

En modifiant le code source du site

En agissant comme un proxy

En piratant le serveur

Quelle est la principale différence entre OWASP ZAP et Burp Suite ?

ZAP est plus simple à utiliser

Burp Suite est gratuit et ZAP est payant

ZAP ne peut pas intercepter les requêtes HTTP

Quel port est utilisé par défaut pour le proxy OWASP ZAP ?

8080

443

80

Quel outil permet de rejouer une requête HTTP dans Burp Suite ?

Repeater

Intruder

Scanner

Quelle fonctionnalité de Burp Suite permet de tester des attaques par force brute ?

Intruder

Repeater

Proxy

Quel est l’avantage principal de Burp Suite par rapport à ZAP ?

Il est plus complet pour les tests avancés

Il est plus rapide

Il est plus facile à utiliser

Quel type de vulnérabilité OWASP ZAP peut-il détecter ?

XSS et injections SQL

Attaques DDoS

Failles matérielles

Quel est le rôle du mode Intercept dans OWASP ZAP ?

Modifier les requêtes HTTP avant qu'elles n'atteignent le serveur

Bloquer le trafic réseau

Créer un site Web sécurisé

Quel est l'objectif d'un scan actif dans OWASP ZAP ?

Analyser automatiquement les vulnérabilités d'un site

Créer des failles de sécurité

Bloquer un site Web

TP pour réfléchir et résoudre des problèmes

Dans ce TP, vous allez utiliser OWASP ZAP pour analyser un site Web vulnérable :

• Configurer un proxy pour intercepter le trafic HTTP.
• Analyser les requêtes envoyées à un site Web.
• Lancer un scan de sécurité pour détecter des vulnérabilités.
• Comprendre les résultats et identifier les failles de sécurité.

attention

En cybersécurité, il est essentiel de toujours obtenir l’autorisation avant de tester un site Web. OWASP ZAP est un outil puissant qui doit être utilisé de manière éthique et responsable.

1) Installation d’OWASP ZAP

1. Installer OWASP ZAP

Si OWASP ZAP n’est pas encore installé sur votre machine, ouvrez un terminal et tapez :

sudo apt update && sudo apt install zaproxy -y

Une fois l’installation terminée, vérifiez que l’outil fonctionne en tapant :

zap

Cela ouvre l’interface graphique d’OWASP ZAP.

- Vérification

• Si OWASP ZAP s’ouvre sans erreur, passez à l’étape suivante.
• Si vous obtenez une erreur, vérifiez votre connexion internet et réessayez.

Une solution

Vous devez être connecté pour voir le contenu.

Email : Mot de passe :

---

2) Configuration du proxy OWASP ZAP

OWASP ZAP fonctionne comme un proxy entre votre navigateur et le serveur Web. Cela signifie que toutes les requêtes HTTP passent par OWASP ZAP avant d’atteindre leur destination.

1. Configurer Firefox pour utiliser OWASP ZAP

1. Ouvrez Firefox.
2. Allez dans Paramètres > Général > Paramètres réseau.
3. Sélectionnez Configuration manuelle du proxy et entrez :
   • Proxy HTTP : 127.0.0.1
   • Port : 8080
4. Cochez Utiliser ce proxy pour tous les protocoles.
5. Validez en cliquant sur OK.

- Vérification

• Ouvrez Firefox et essayez d’accéder à un site Web (exemple : http://example.com).
• Si la page charge normalement, la configuration est correcte.
• Si la page ne charge pas, vérifiez que OWASP ZAP est bien lancé.

Une solution

Vous devez être connecté pour voir le contenu.

Email : Mot de passe :

---

3) Intercepter et analyser le trafic HTTP

Nous allons maintenant intercepter les requêtes envoyées par le navigateur.

1. Activer l’interception dans OWASP ZAP

1. Dans OWASP ZAP, cliquez sur l’onglet "Break".
2. Activez l’option "Break on all requests".

2. Tester l’interception

1. Retournez dans Firefox et accédez à http://testphp.vulnWeb.com.
2. La requête doit être interceptée par OWASP ZAP et s’afficher dans l’interface.
3. Analysez les informations affichées :
   • URL demandée
   • Méthode HTTP utilisée (GET, POST, etc.)
   • Paramètres envoyés

- Vérification

• Si OWASP ZAP affiche la requête, l’interception fonctionne.
• Si rien ne s’affiche, assurez-vous que le proxy est bien configuré.

Une solution

Vous devez être connecté pour voir le contenu.

Email : Mot de passe :

---

4) Scanner un site Web

Nous allons maintenant utiliser OWASP ZAP pour analyser un site Web et détecter des failles de sécurité.

1. Lancer un scan automatique

1. Dans OWASP ZAP, entrez l’URL cible :

   http://testphp.vulnWeb.com
2. Cliquez sur "Attack" > "Active Scan".
3. Attendez que l’analyse soit terminée (cela peut prendre quelques minutes).

2. Analyser les résultats

Une fois le scan terminé, OWASP ZAP affiche une liste de vulnérabilités détectées.

• XSS (Cross-Site Scripting) : Injection de scripts malveillants.
• SQL Injection : Possibilité d’exécuter des requêtes SQL non autorisées.
• Failles d’authentification : Accès non sécurisé aux comptes utilisateurs.

- Vérification

• Vérifiez que OWASP ZAP affiche bien une liste de vulnérabilités.
• Notez les failles détectées et leur gravité.

Une solution

Vous devez être connecté pour voir le contenu.

Email : Mot de passe :

---

5) Exploiter une vulnérabilité détectée

Nous allons tester une faille XSS détectée par OWASP ZAP.

1. Identifier une page vulnérable

Dans les résultats du scan, recherchez une page où OWASP ZAP a détecté une vulnérabilité XSS.

2. Tester une injection XSS

1. Ouvrez la page vulnérable dans Firefox.
2. Dans un champ de saisie (exemple : un champ de recherche), entrez le code suivant :

   <script>alert('XSS')</script>
3. Validez et observez si une alerte apparaît sur la page.

- Vérification

• Si une boîte de dialogue s’affiche avec le message "XSS", la faille est exploitable.
• Si rien ne se passe, essayez une autre page vulnérable.

Une solution

Vous devez être connecté pour voir le contenu.

Email : Mot de passe :

Merci Acunetix

Nous remercions TestPHP.Vulnweb.com et Acunetix pour la mise à disposition de cette plateforme d’apprentissage. Ce site permet d’expérimenter en toute sécurité les tests de vulnérabilités Web et contribue à la formation en cybersécurité. Merci pour cette ressource précieuse !