OWASP ZAP et Burp Suite
Sécurité des applications Web avec OWASP ZAP et Burp Suite
Notions théoriques
Qu’est-ce que OWASP ZAP ?
OWASP ZAP (Zed Attack Proxy) est un outil open-source développé par l’OWASP (Open Web Application Security Project).
Il est utilisé pour tester la sécurité des applications Web.
Pourquoi utiliser ZAP ?
- Il permet d’analyser les failles de sécurité d’un site Web.
- Il est gratuit et facile à utiliser.
- Il aide à détecter des vulnérabilités comme les injections SQL, les XSS (Cross-Site Scripting) et les failles d’authentification.
Comment fonctionne ZAP ?
- Il agit comme un proxy entre le navigateur et le serveur Web.
- Il intercepte et analyse les requêtes HTTP envoyées par le navigateur.
- Il permet d’exécuter des scans automatiques pour détecter des vulnérabilités.
- Il donne un rapport détaillé des failles trouvées.
Qu’est-ce que Burp Suite ?
Burp Suite est un autre outil puissant pour tester la sécurité des applications Web.
Burp Suite est très utilisé par les professionnels de la cybersécurité.
Pourquoi utiliser Burp Suite ?
- Il permet d’intercepter et de modifier les requêtes HTTP.
- Il propose des outils avancés comme Intruder (pour tester les attaques par force brute) et Repeater (pour rejouer des requêtes).
- Il est utilisé pour des tests plus approfondis que ZAP.
Différences entre OWASP ZAP et Burp Suite
Critère | OWASP ZAP | Burp Suite |
---|---|---|
Prix | Gratuit | Version gratuite et payante |
Facilité d’utilisation | Facile | Plus complexe |
Utilisation | Débutants et experts | Principalement pour les experts |
Fonctionnalités avancées | Moins nombreuses | Plus complètes |
Exemple pratique
Scanner un site Web avec OWASP ZAP
Nous allons utiliser OWASP ZAP pour analyser la sécurité d’un site Web en local.
1) Installer OWASP ZAP
Sur Kali Linux, tapez :
sudo apt install zaproxy -y
Une fois installé, lancez-le avec :
zap
2) Configurer OWASP ZAP comme proxy
- Ouvrez votre navigateur (Firefox recommandé).
- Allez dans Paramètres > Réseau > Proxy.
- Configurez le proxy sur localhost:8080 (OWASP ZAP écoute sur ce port).
3) Intercepter le trafic
- Dans OWASP ZAP, cliquez sur Mode Intercept.
- Ouvrez un site Web dans votre navigateur (exemple :
http://testphp.vulnweb.com
). - OWASP ZAP va capturer toutes les requêtes HTTP envoyées par votre navigateur.
4) Lancer un scan de sécurité
- Dans OWASP ZAP, entrez l’URL du site cible.
- Cliquez sur Attack > Active Scan.
- Attendez la fin du scan et observez les résultats.
- Résultat attendu : OWASP ZAP affiche une liste de vulnérabilités trouvées sur le site.
Test de mémorisation/compréhension
TP pour réfléchir et résoudre des problèmes
Dans ce TP, vous allez utiliser OWASP ZAP pour analyser un site Web vulnérable :
- Configurer un proxy pour intercepter le trafic HTTP.
- Analyser les requêtes envoyées à un site Web.
- Lancer un scan de sécurité pour détecter des vulnérabilités.
- Comprendre les résultats et identifier les failles de sécurité.
En cybersécurité, il est essentiel de toujours obtenir l’autorisation avant de tester un site Web. OWASP ZAP est un outil puissant qui doit être utilisé de manière éthique et responsable.
1) Installation d’OWASP ZAP
1. Installer OWASP ZAP
Si OWASP ZAP n’est pas encore installé sur votre machine, ouvrez un terminal et tapez :
sudo apt update && sudo apt install zaproxy -y
Une fois l’installation terminée, vérifiez que l’outil fonctionne en tapant :
zap
Cela ouvre l’interface graphique d’OWASP ZAP.
- Vérification
- Si OWASP ZAP s’ouvre sans erreur, passez à l’étape suivante.
- Si vous obtenez une erreur, vérifiez votre connexion internet et réessayez.
Une solution
Vous devez être connecté pour voir le contenu.
2) Configuration du proxy OWASP ZAP
OWASP ZAP fonctionne comme un proxy entre votre navigateur et le serveur Web. Cela signifie que toutes les requêtes HTTP passent par OWASP ZAP avant d’atteindre leur destination.
1. Configurer Firefox pour utiliser OWASP ZAP
- Ouvrez Firefox.
- Allez dans Paramètres > Général > Paramètres réseau.
- Sélectionnez Configuration manuelle du proxy et entrez :
- Proxy HTTP :
127.0.0.1
- Port :
8080
- Proxy HTTP :
- Cochez Utiliser ce proxy pour tous les protocoles.
- Validez en cliquant sur OK.
- Vérification
- Ouvrez Firefox et essayez d’accéder à un site Web (exemple :
http://example.com
). - Si la page charge normalement, la configuration est correcte.
- Si la page ne charge pas, vérifiez que OWASP ZAP est bien lancé.
Une solution
Vous devez être connecté pour voir le contenu.
3) Intercepter et analyser le trafic HTTP
Nous allons maintenant intercepter les requêtes envoyées par le navigateur.
1. Activer l’interception dans OWASP ZAP
- Dans OWASP ZAP, cliquez sur l’onglet "Break".
- Activez l’option "Break on all requests".
2. Tester l’interception
- Retournez dans Firefox et accédez à
http://testphp.vulnWeb.com
. - La requête doit être interceptée par OWASP ZAP et s’afficher dans l’interface.
- Analysez les informations affichées :
- URL demandée
- Méthode HTTP utilisée (GET, POST, etc.)
- Paramètres envoyés
- Vérification
- Si OWASP ZAP affiche la requête, l’interception fonctionne.
- Si rien ne s’affiche, assurez-vous que le proxy est bien configuré.
Une solution
Vous devez être connecté pour voir le contenu.
4) Scanner un site Web
Nous allons maintenant utiliser OWASP ZAP pour analyser un site Web et détecter des failles de sécurité.
1. Lancer un scan automatique
- Dans OWASP ZAP, entrez l’URL cible :
http://testphp.vulnWeb.com
- Cliquez sur "Attack" > "Active Scan".
- Attendez que l’analyse soit terminée (cela peut prendre quelques minutes).
2. Analyser les résultats
Une fois le scan terminé, OWASP ZAP affiche une liste de vulnérabilités détectées.
- XSS (Cross-Site Scripting) : Injection de scripts malveillants.
- SQL Injection : Possibilité d’exécuter des requêtes SQL non autorisées.
- Failles d’authentification : Accès non sécurisé aux comptes utilisateurs.
- Vérification
- Vérifiez que OWASP ZAP affiche bien une liste de vulnérabilités.
- Notez les failles détectées et leur gravité.
Une solution
Vous devez être connecté pour voir le contenu.
5) Exploiter une vulnérabilité détectée
Nous allons tester une faille XSS détectée par OWASP ZAP.
1. Identifier une page vulnérable
Dans les résultats du scan, recherchez une page où OWASP ZAP a détecté une vulnérabilité XSS.
2. Tester une injection XSS
- Ouvrez la page vulnérable dans Firefox.
- Dans un champ de saisie (exemple : un champ de recherche), entrez le code suivant :
<script>alert('XSS')</script>
- Validez et observez si une alerte apparaît sur la page.
- Vérification
- Si une boîte de dialogue s’affiche avec le message "XSS", la faille est exploitable.
- Si rien ne se passe, essayez une autre page vulnérable.
Une solution
Vous devez être connecté pour voir le contenu.
Merci Acunetix
Nous remercions TestPHP.Vulnweb.com et Acunetix pour la mise à disposition de cette plateforme d’apprentissage. Ce site permet d’expérimenter en toute sécurité les tests de vulnérabilités Web et contribue à la formation en cybersécurité. Merci pour cette ressource précieuse !