آموزش نوشتن اسکریپت های سفارشی برای پروکسی حمله Zed OWASP

سرفصل ها و درس ها

بررسی اجمالی دوره Course Overview

• بررسی اجمالی دوره Course Overview

آماده سازی محیط اسکریپت نویسی OWASP Preparing the OWASP ZAP Scripting Environment

• نیاز به برنامه نویسی در OWASP ZAP The Need for Scripting in OWASP ZAP

• انواع اسکریپت نویسی و زبانهای پشتیبانی شده Supported Scripting Types and Languages

• تنظیم مرورگر ، پروکسی ها و گواهینامه ها Setting up the Browser, Proxies, and Certificates

• در حال آماده سازی افزودنیهای اسکریپت نویسی Preparing the Scripting Add-ons

دستکاری درخواست ها و پاسخ ها با اسکریپت های پروکسی Tampering the Requests and Responses with Proxy Scripts

• قدرت مرد بودن در میانه The Power of Being the Man in the Middle

• آسیب پذیری پیکربندی حافظه نهان ناامن Insecure Cache Configuration Vulnerability

• Proxy Script و راه انداز آن The Proxy Script and Its Trigger

• نوشتن اسکریپت پراکسی که پاسخهای HTTP را اصلاح می کند Writing a Proxy Script That Modifies HTTP Responses

• ذخیره و بارگذاری اسکریپت ها و بیانیه های ZEST Saving and Loading Scripts and ZEST Statements

• خلاصه Summary

شناسایی آسیب پذیری های متنی و سفارشی از طریق اسکنرهای اسکنر Identifying Contextual and Custom Vulnerabilities through Scanner Scripts

• سه م Importلفه مهم اسکن وب Three Important Components of Web Scanning

• آسیب پذیری در معرض قرار گرفتن اطلاعات Information Exposure Vulnerability

• قوانین اسکن فعال و غیرفعال پیش فرض Default Active Scan and Passive Scan Rules

• نوشتن اسکریپت اسکن منفعل برای یافتن IBAN های فاش کننده Writing a Passive Scan Script to Find Leaking IBANs

• افزایش هشدارها با استدلال های مختلف Raising Alerts with Different Arguments

• اجرای اسکریپت اسکن فعال برای کشف افعال HTTP ناامن Running an Active Scan Script to Detect Insecure HTTP Verbs

• خلاصه Summary

سناریوهای تصدیق پیچیده اسکریپت نویسی Scripting Complicated Authentication Scenarios

• طرح های احراز هویت پشتیبانی شده در OWASP ZAP Supported Authentication Schemes in OWASP ZAP

• نیاز به اسکن معتبر The Need for Authenticated Scanning

• نوشتن یک ترتیب احراز هویت با ZEST Scripting an Authentication Sequence with ZEST

• استخراج نشان ها از داده های پیام HTTP به متغیرهای اسکریپت Extracting Tokens from HTTP Message Data to Script Variables

• خلاصه Summary

تولید محموله های سفارشی برای عملیات فازی Generating Custom Payloads for Fuzzing Operations

• آسیب پذیری منابع مستقیم شی ناامن Insecure Direct Object References Vulnerability

• ژنراتورهای قابل حمل Fuzzer Payload در OWASP ZAP Inbuilt Fuzzer Payload Generators in OWASP ZAP

• آناتومی اسکریپت ژنراتور بار بار Anatomy of a Payload Generator Script

• نوشتن اسکریپت Fuzzer Payload Generator Writing a Fuzzer Payload Generator Script

• ترکیبی از ژنراتورهای بار چندگانه برای Fuzzing Combining Multiple Payload Generators for Fuzzing

• خلاصه Summary

بازگشت آسیب پذیری های امنیتی با اسکریپت های مستقل Regressing Security Vulnerabilities with Standalone Scripts

• بررسی اجمالی ماژول Module Overview

• قانون برنامه نویسی شدید و آزمون رگرسیون امنیتی Extreme Programming Rule and a Security Regression Test

• OWASP ZAP و تست رگرسیون امنیت OWASP ZAP and Security Regression Testing

• بازگشت یک آسیب پذیری XSS Regressing an XSS Vulnerability

• بازگشت یک آسیب پذیری تغییر مسیر نامعتبر Regressing an Unvalidated Redirect Vulnerability

• اجرای اسکریپت ها از خط فرمان با مستقل ZEST Runner Running Scripts from Command Line with Standalone ZEST Runner

• اسکریپت فرستنده HTTP برای ادغام چندین سرآیند کوکی HTTP Sender Script to Merge Multiple Cookie Headers

• اجرای اسکریپتهای مستقل ZEST Running Standalone ZEST Scripts

جمع بندی و خلاصه Wrap up and Summary

• نکات رفع اشکال Debugging Tips

• بارگیری اسکریپت ها از طریق API های config.xml و ZAP Loading Scripts through config.xml and ZAP APIs

• در جریان بودن OWASP ZAP و جستجوی کمک باشید Staying Abreast of OWASP ZAP and Reaching out for Help

• غذاهای کلیدی Key Takeaways