Penetrationstest mit OWASP ZAP: Erfahrungsbericht, Vor- und Nachteile

Der Penetrationstest ist eine besondere Form des Softwaretests, bei der die Applikation auf Sicherheitsrisiken und Verwundbarkeiten geprüft wird. Das Ziel des Testers ist es, von außen Zugriff auf das System zu erlangen und damit die Möglichkeiten von Datendiebstahl oder gezielten Angriffen auf das System aufzudecken. Hierfür gibt es verschiede Tools auf den Markt, wovon wir eines in diesem Beitrag näher beleuchten werden.

Was ist OWASP ZAP?

OWASP ZAP ist ein Open-Source Security Scanner für Webapplikationen. Es stellt dem Anwender verschiedene Möglichkeiten für einen Penetrationstest bereit, womit es für Einsteiger als auch für Fortgeschrittene eine gute Alternative zu kommerziellen Anwendungen darstellt. OWASP ZAP ist für Linux, Windows und OS X verfügbar.

Hauptkomponenten von OWASP ZAP

Automated Scan

Der wohl einfachste Weg, einen Securitytest auszuführen, ist über den Automated Scan von OWASP ZAP. Es wird nur die zu testende URL benötigt und das Tool führt den Rest von alleine aus. Über einen Webcrawler werden nun alle verfügbaren Ressourcen erfasst und anschließend auf gängige Sicherheitsfehler, wie unsichere Header, geprüft.

Bild: Automated Scan mit OWASP ZAP. (Klicken zum Vergrößern) [Quelle: OWASP ZAP]

Manual Scan

OWASP ZAP bietet neben dem Automated Scan auch die Möglichkeit, einen manuellen Scan durchzuführen. Hierzu wird ein interner Browser auf Chrome- oder Firefox-Basis benutzt, der den Internettraffic aufzeichnet und diesen passiv auf bekannte Verwundbarkeiten, wie unsichere Cookies oder ungeschützte Session-IDs, scannt. Diese Funktionalität lässt sich einfach in den manuellen Testprozess einbinden und bietet so die Möglichkeit, ohne nennenswerten Mehraufwand einen rudimentären Pentest auszuführen.

Bild: Die potenziellen Sicherheitslücken werden in einer Session aufgezeichnet, welche exportiert und später ausgewertet werden kann. (Klicken zum Vergrößern) [Quelle: OWASP ZAP]

pentest-securitytest-manual-scan-erklaerung-owasp-zap.png

Bild: OWASP ZAP bietet auch eine Erklärung zu den gängigsten Sicherheitslücken. (Klicken zum Vergrößern) [Quelle: OWASP ZAP]

Resend Tool

Mit dem Resend Tool ist es möglich, bereits aufgezeichnete Requests erneut zu senden und gegebenenfalls zu manipulieren. Dies ist vor allem beim Testen von Zugriffsrechten oder Authentifizierungen interessant.

Bild: Mit dem Resend Tool können aufgezeichnete Requests erneut gesendet werden. (Klicken zum Vergrößern) [Quelle: OWASP ZAP]

Deamon Mode

Es ist möglich, OWASP ZAP ohne UI auszuführen und im Hintergrund passiv zu scannen. Dies ist vor allem für bestehende Automatisierungslösungen interessant. Starten Sie OWASP ZAP mit einer Batchdatei vor Ihren Automatisierungsskripten und werten Sie anschließend die entstandenen Logfiles aus. OWASP ZAP bietet für Selenium sogar eine noch einfachere Anbindung. Hierzu hat OWASP eine kurze und verständliche Anleitung erstellt, wie OWASP ZAP mit Selenium angebunden werden kann.

Der ZAP Marketplace

ZAP bietet außerdem einen internen Marktplatz, über den sich schnell und einfach Plugins und Erweiterungen installieren lassen.

Vorteile

Open Source
Vielseitig konfigurierbar und anpassbar
Einfache Bedienung
Schneller Start in den PenTest

Nachteile

Die Auswertung der LogFiles benötigt Pentest Kenntnisse
Die Anpassung der Scanrules erfordert tiefe fortgeschrittene Kenntnisse in Entwicklung und Test
Der aktive Scan stellt eine potenzielle Gefahr für die getestete Applikation dar

Kommerzielle Alternativen

Webinar:Continous Security Testing in der Delivery Pipeline, OWASP, Pentesting

Webinar: Skalierbare Lasttests mit JMeter | Cloud, AWS

Fazit

OWASP ZAP bietet eine solide Grundlage an Funktionen, die für den Pentest benötigt werden. Durch die verfügbaren Scanrules und den automatischen Scan ist es ohne viel Vorkenntnis möglich, die gängigsten Sicherheitslücken aufzuspüren. Für die Auswertung und das Aufspüren weiterer Fehler wird jedoch tieferes Fachwissen benötigt. Hierzu empfiehlt sich eine Schulung zum Thema ISTQB Advanced Level Security Tester zu besuchen.

Veröffentlicht am 17.September 2020

Aktualisiert am 16.April 2024

Maximilian Bodsch hat sich nach 6 Jahren Testerfahrung bei der Siemens AG auf den Bereich Testautomatisierung fokussiert. Darüber hinaus ist er ISTQB-Advanced Level zertifiziert (Automation Engineer und Testmanagement).