🕸️ OWASP ZAP - Zed Attack Proxy

🌐 Web App Security 🔍 Penetration Testing 🆓 Free & Open Source

Category: 2️⃣ Vulnerability Analysis

📝 Description

OWASP ZAP (Zed Attack Proxy) दुनिया का सबसे लोकप्रिय फ्री वेब एप्लीकेशन सिक्योरिटी टेस्टिंग टूल है। इसे OWASP (Open Web Application Security Project) फाउंडेशन द्वारा डेवलप किया जाता है। ZAP एक इंटरसेप्टिंग प्रॉक्सी है जो आपको वेब एप्लीकेशन और ब्राउज़र के बीच के ट्रैफिक को देखने, बदलने, और मैनिपुलेट करने की सुविधा देता है। यह SQL Injection, XSS (Cross-Site Scripting), CSRF, और OWASP Top 10 वल्नरेबिलिटीज को डिटेक्ट करता है।

विशेषता: ZAP का सबसे बड़ा फायदा है इसका यूजर-फ्रेंडली इंटरफेस और ऑटोमेटेड स्कैनिंग। यह बिगिनर्स से लेकर एक्सपर्ट्स तक सभी के लिए उपयुक्त है। Burp Suite का फ्री विकल्प है।

📦 Installation

Kali Linux (पहले से इंस्टॉल):

zap

Windows / macOS / Linux:

https://www.zaproxy.org/download/ से डाउनलोड करें और इंस्टॉल करें।

Ubuntu/Debian:

sudo apt update
sudo apt install zaproxy -y

Docker से चलाना:

docker pull owasp/zap2docker-stable
docker run -it owasp/zap2docker-stable zap.sh

💻 Common Commands & Usage (उदाहरण सहित)

📌 ZAP मुख्य रूप से GUI इंटरफेस के साथ आता है। नीचे GUI और कमांड लाइन दोनों के उदाहरण दिए गए हैं:

🔹 1. ZAP GUI शुरू करना और प्रॉक्सी सेट करना:

zap.sh

👉 उदाहरण: ZAP खुलने के बाद Tools → Options → Local Proxies में पोर्ट 8080 सेट करें। ब्राउज़र में प्रॉक्सी localhost:8080 सेट करें। अब ब्राउज़र का सारा ट्रैफिक ZAP से होकर जाएगा।

🔹 2. ऑटोमेटेड स्कैन - तुरंत स्कैन शुरू करना:

Quick Start Tab → Automated Scan → URL डालें → Attack

👉 उदाहरण: http://testphp.vulnweb.com डालने पर ZAP ऑटोमेटिक स्पाइडर और एक्टिव स्कैन शुरू कर देगा।

🔹 3. मैनुअल एक्सप्लोर - ब्राउज़ करते हुए ट्रैफिक कैप्चर करना:

Manual Explore Tab → Launch Browser

👉 उदाहरण: ZAP का इन-बिल्ट ब्राउज़र खुलता है। उस पर वेबसाइट ब्राउज़ करें, सारे रिक्वेस्ट कैप्चर हो जाते हैं।

🔹 4. स्पाइडर - सभी लिंक्स क्रॉल करना:

Right Click on Site → Attack → Spider

👉 उदाहरण: वेबसाइट के सभी पेज, लिंक्स, फॉर्म्स को ढूँढता है।

🔹 5. एक्टिव स्कैन - वल्नरेबिलिटीज स्कैन करना:

Right Click on Site → Attack → Active Scan

👉 उदाहरण: SQL Injection, XSS, और अन्य वल्नरेबिलिटीज के लिए एक्टिव स्कैन करता है।

🔹 6. फजर (Fuzzer) - पैरामीटर ब्रूटफोर्स:

Request पर Right Click → Fuzz

👉 उदाहरण: पैरामीटर में वर्डलिस्ट डालकर SQL Injection या Directory Brute Force कर सकते हैं।

🔹 7. रिक्वेस्ट इंटरसेप्ट और मॉडिफाई करना:

Break Button दबाएँ → रिक्वेस्ट को मॉडिफाई करें → Send

👉 उदाहरण: किसी POST रिक्वेस्ट में SQL Injection पेलोड डालकर भेज सकते हैं।

🔹 8. रिपोर्ट जनरेट करना:

Reports → Generate Report → HTML/XML/JSON चुनें

👉 उदाहरण: स्कैन पूरा होने पर HTML रिपोर्ट जनरेट करता है।

💻 Command Line (ZAP API) उदाहरण:

🔹 9. कमांड लाइन से ऑटोमेटेड स्कैन:

zap.sh -cmd -quickurl http://target.com -quickprogress

👉 उदाहरण: बिना GUI के कमांड लाइन से स्कैन शुरू करता है।

🔹 10. API से स्कैन शुरू करना:

curl "http://localhost:8080/JSON/ascan/action/scan/?url=http://target.com&recurse=true"

👉 उदाहरण: ZAP API के माध्यम से स्कैन शुरू करना।

🔹 11. API से रिपोर्ट डाउनलोड करना:

curl "http://localhost:8080/OTHER/core/other/htmlreport/" > report.html

👉 उदाहरण: HTML रिपोर्ट डाउनलोड करना।

🎯 ZAP के मुख्य टैब्स:

Sites: सभी कैप्चर की गई URLs की लिस्ट
History: सभी रिक्वेस्ट और रिस्पॉन्स का लॉग
Alerts: मिली हुई वल्नरेबिलिटीज की लिस्ट (High, Medium, Low)
Spider: स्पाइडर का स्टेटस और मिले URLs
Active Scan: एक्टिव स्कैन का प्रोग्रेस
Fuzzer: फजिंग टूल
Script Console: कस्टम स्क्रिप्ट्स लिखने के लिए

🎯 Use Cases (उपयोग के तरीके)

वेब एप्लीकेशन पेनिट्रेशन टेस्टिंग: SQL Injection, XSS, CSRF, IDOR, और OWASP Top 10 वल्नरेबिलिटीज ढूँढना।
बग बाउंटी: टारगेट वेबसाइट पर ऑटोमेटेड स्कैन करके कॉमन वल्नरेबिलिटीज ढूँढना।
डेवलपर सेल्फ-टेस्टिंग: कोड डिप्लॉय करने से पहले सुरक्षा टेस्ट करना।
CI/CD पाइपलाइन इंटीग्रेशन: Jenkins, GitLab CI के साथ ऑटोमेटेड सिक्योरिटी टेस्टिंग।
API टेस्टिंग: REST और GraphQL APIs की सुरक्षा टेस्टिंग।
शैक्षिक उद्देश्य: वेब सिक्योरिटी सीखने के लिए बेस्ट टूल।

⚙️ Key Features (मुख्य विशेषताएँ)

✔️ इंटरसेप्टिंग प्रॉक्सी - HTTP/HTTPS ट्रैफिक को कैप्चर और मॉडिफाई करना
✔️ ऑटोमेटेड स्पाइडर - सभी URLs और लिंक्स क्रॉल करना
✔️ एक्टिव स्कैनर - SQL Injection, XSS, CSRF, और 100+ वल्नरेबिलिटीज
✔️ पैसिव स्कैनर - बिना रिक्वेस्ट बदले वल्नरेबिलिटीज डिटेक्ट करना
✔️ फजर - पैरामीटर ब्रूटफोर्स और पेलोड टेस्टिंग
✔️ स्क्रिप्टिंग - JavaScript, Python, Groovy में कस्टम स्क्रिप्ट्स
✔️ API सपोर्ट - REST API के माध्यम से ऑटोमेशन
✔️ HUD (Heads Up Display) - ब्राउज़र में इन-पेज वल्नरेबिलिटी दिखाना
✔️ वेबसॉकेट सपोर्ट
✔️ मल्टी-लैंग्वेज सपोर्ट (हिंदी सहित 20+ भाषाएँ)
✔️ OWASP Top 10, CWE, WASC वल्नरेबिलिटी डेटाबेस के साथ इंटीग्रेटेड

📌 ZAP के ऑटोमेटेड स्कैन के प्रकार:

Quick Scan: तेज स्कैन, सिर्फ कॉमन वल्नरेबिलिटीज
Full Scan: पूरा स्कैन, सभी वल्नरेबिलिटीज
API Scan: OpenAPI/Swagger से API डॉक्यूमेंटेशन स्कैन
Traditional Spider: सिर्फ HTML लिंक्स फॉलो करना
AJAX Spider: JavaScript और AJAX कॉल्स को फॉलो करना

📌 ZAP vs Burp Suite:

ZAP: फ्री, ओपन-सोर्स, OWASP प्रोजेक्ट, कम्युनिटी ड्रिवेन, बिगिनर फ्रेंडली
Burp Suite: फ्री (Community) और पेड (Professional), ज्यादा फीचर्स (Intruder, Scanner, Repeater), प्रोफेशनल के लिए
अनुशंसा: बिगिनर्स के लिए ZAP बेस्ट है। प्रोफेशनल पेनिट्रेशन टेस्टर्स Burp Suite Pro उपयोग करते हैं। दोनों सीखना फायदेमंद है।

🔗 Official Resources

Official Website: https://www.zaproxy.org
OWASP ZAP GitHub: https://github.com/zaproxy/zaproxy
Documentation: https://www.zaproxy.org/docs/
YouTube Tutorials: ZAP Tutorials
ZAP API Docs: https://www.zaproxy.org/docs/api/

🔧 Related Tools (समान उपकरण)

Burp Suite: ZAP का मुख्य प्रतियोगी, प्रोफेशनल फीचर्स
Nikto: वेब सर्वर स्कैनर
SQLmap: SQL Injection के लिए स्पेशलाइज्ड टूल
Wfuzz: वेब फजिंग टूल
Skipfish: गूगल का वेब सिक्योरिटी स्कैनर
OpenVAS: फुल वल्नरेबिलिटी स्कैनर (नेटवर्क लेवल)

⚠️ Important Note (सावधानी)

ZAP एक शक्तिशाली एक्टिव स्कैनर है जो वेब एप्लीकेशन पर काफी रिक्वेस्ट भेज सकता है। इसका उपयोग केवल उन्हीं वेबसाइट्स पर करें जिनकी आपको लिखित अनुमति हो। बिना अनुमति के स्कैन करना कानूनी अपराध है। एक्टिव स्कैन डेटा डिलीट या डैमेज कर सकता है, इसलिए प्रोडक्शन साइट पर सावधानी से उपयोग करें। हमेशा अपने खुद के वेब एप्लीकेशन या बग बाउंटी प्रोग्राम पर ही प्रैक्टिस करें।