Aller au contenu principal

OWASP ZAP et Burp Suite

Sécurité des applications Web avec OWASP ZAP et Burp Suite

Notions théoriques

Qu’est-ce que OWASP ZAP ?

OWASP ZAP (Zed Attack Proxy) est un outil open-source développé par l’OWASP (Open Web Application Security Project).

Il est utilisé pour tester la sécurité des applications Web.

Pourquoi utiliser ZAP ?

  • Il permet d’analyser les failles de sécurité d’un site Web.
  • Il est gratuit et facile à utiliser.
  • Il aide à détecter des vulnérabilités comme les injections SQL, les XSS (Cross-Site Scripting) et les failles d’authentification.

Comment fonctionne ZAP ?

  1. Il agit comme un proxy entre le navigateur et le serveur Web.
  2. Il intercepte et analyse les requêtes HTTP envoyées par le navigateur.
  3. Il permet d’exécuter des scans automatiques pour détecter des vulnérabilités.
  4. Il donne un rapport détaillé des failles trouvées.

Qu’est-ce que Burp Suite ?

Burp Suite est un autre outil puissant pour tester la sécurité des applications Web.

remarque

Burp Suite est très utilisé par les professionnels de la cybersécurité.

Pourquoi utiliser Burp Suite ?

  • Il permet d’intercepter et de modifier les requêtes HTTP.
  • Il propose des outils avancés comme Intruder (pour tester les attaques par force brute) et Repeater (pour rejouer des requêtes).
  • Il est utilisé pour des tests plus approfondis que ZAP.

Différences entre OWASP ZAP et Burp Suite

CritèreOWASP ZAPBurp Suite
PrixGratuitVersion gratuite et payante
Facilité d’utilisationFacilePlus complexe
UtilisationDébutants et expertsPrincipalement pour les experts
Fonctionnalités avancéesMoins nombreusesPlus complètes

Exemple pratique

Scanner un site Web avec OWASP ZAP

Nous allons utiliser OWASP ZAP pour analyser la sécurité d’un site Web en local.

1) Installer OWASP ZAP

Sur Kali Linux, tapez :

sudo apt install zaproxy -y

Une fois installé, lancez-le avec :

zap

2) Configurer OWASP ZAP comme proxy

  1. Ouvrez votre navigateur (Firefox recommandé).
  2. Allez dans Paramètres > Réseau > Proxy.
  3. Configurez le proxy sur localhost:8080 (OWASP ZAP écoute sur ce port).

3) Intercepter le trafic

  1. Dans OWASP ZAP, cliquez sur Mode Intercept.
  2. Ouvrez un site Web dans votre navigateur (exemple : http://testphp.vulnweb.com).
  3. OWASP ZAP va capturer toutes les requêtes HTTP envoyées par votre navigateur.

4) Lancer un scan de sécurité

  1. Dans OWASP ZAP, entrez l’URL du site cible.
  2. Cliquez sur Attack > Active Scan.
  3. Attendez la fin du scan et observez les résultats.
  • Résultat attendu : OWASP ZAP affiche une liste de vulnérabilités trouvées sur le site.

Test de mémorisation/compréhension


Quel est le rôle principal d'OWASP ZAP ?


Comment OWASP ZAP intercepte-t-il les requêtes HTTP ?


Quelle est la principale différence entre OWASP ZAP et Burp Suite ?


Quel port est utilisé par défaut pour le proxy OWASP ZAP ?


Quel outil permet de rejouer une requête HTTP dans Burp Suite ?


Quelle fonctionnalité de Burp Suite permet de tester des attaques par force brute ?


Quel est l’avantage principal de Burp Suite par rapport à ZAP ?


Quel type de vulnérabilité OWASP ZAP peut-il détecter ?


Quel est le rôle du mode Intercept dans OWASP ZAP ?


Quel est l'objectif d'un scan actif dans OWASP ZAP ?


TP pour réfléchir et résoudre des problèmes

Dans ce TP, vous allez utiliser OWASP ZAP pour analyser un site Web vulnérable :

  • Configurer un proxy pour intercepter le trafic HTTP.
  • Analyser les requêtes envoyées à un site Web.
  • Lancer un scan de sécurité pour détecter des vulnérabilités.
  • Comprendre les résultats et identifier les failles de sécurité.
attention

En cybersécurité, il est essentiel de toujours obtenir l’autorisation avant de tester un site Web. OWASP ZAP est un outil puissant qui doit être utilisé de manière éthique et responsable.

1) Installation d’OWASP ZAP

1. Installer OWASP ZAP

Si OWASP ZAP n’est pas encore installé sur votre machine, ouvrez un terminal et tapez :

sudo apt update && sudo apt install zaproxy -y

Une fois l’installation terminée, vérifiez que l’outil fonctionne en tapant :

zap

Cela ouvre l’interface graphique d’OWASP ZAP.

- Vérification

  • Si OWASP ZAP s’ouvre sans erreur, passez à l’étape suivante.
  • Si vous obtenez une erreur, vérifiez votre connexion internet et réessayez.
Une solution

2) Configuration du proxy OWASP ZAP

OWASP ZAP fonctionne comme un proxy entre votre navigateur et le serveur Web. Cela signifie que toutes les requêtes HTTP passent par OWASP ZAP avant d’atteindre leur destination.

1. Configurer Firefox pour utiliser OWASP ZAP

  1. Ouvrez Firefox.
  2. Allez dans Paramètres > Général > Paramètres réseau.
  3. Sélectionnez Configuration manuelle du proxy et entrez :
    • Proxy HTTP : 127.0.0.1
    • Port : 8080
  4. Cochez Utiliser ce proxy pour tous les protocoles.
  5. Validez en cliquant sur OK.

- Vérification

  • Ouvrez Firefox et essayez d’accéder à un site Web (exemple : http://example.com).
  • Si la page charge normalement, la configuration est correcte.
  • Si la page ne charge pas, vérifiez que OWASP ZAP est bien lancé.
Une solution

3) Intercepter et analyser le trafic HTTP

Nous allons maintenant intercepter les requêtes envoyées par le navigateur.

1. Activer l’interception dans OWASP ZAP

  1. Dans OWASP ZAP, cliquez sur l’onglet "Break".
  2. Activez l’option "Break on all requests".

2. Tester l’interception

  1. Retournez dans Firefox et accédez à http://testphp.vulnWeb.com.
  2. La requête doit être interceptée par OWASP ZAP et s’afficher dans l’interface.
  3. Analysez les informations affichées :
    • URL demandée
    • Méthode HTTP utilisée (GET, POST, etc.)
    • Paramètres envoyés

- Vérification

  • Si OWASP ZAP affiche la requête, l’interception fonctionne.
  • Si rien ne s’affiche, assurez-vous que le proxy est bien configuré.
Une solution

4) Scanner un site Web

Nous allons maintenant utiliser OWASP ZAP pour analyser un site Web et détecter des failles de sécurité.

1. Lancer un scan automatique

  1. Dans OWASP ZAP, entrez l’URL cible : 
    http://testphp.vulnWeb.com
  2. Cliquez sur "Attack" > "Active Scan".
  3. Attendez que l’analyse soit terminée (cela peut prendre quelques minutes).

2. Analyser les résultats

Une fois le scan terminé, OWASP ZAP affiche une liste de vulnérabilités détectées.

  • XSS (Cross-Site Scripting) : Injection de scripts malveillants.
  • SQL Injection : Possibilité d’exécuter des requêtes SQL non autorisées.
  • Failles d’authentification : Accès non sécurisé aux comptes utilisateurs.

- Vérification

  • Vérifiez que OWASP ZAP affiche bien une liste de vulnérabilités.
  • Notez les failles détectées et leur gravité.
Une solution

5) Exploiter une vulnérabilité détectée

Nous allons tester une faille XSS détectée par OWASP ZAP.

1. Identifier une page vulnérable

Dans les résultats du scan, recherchez une page où OWASP ZAP a détecté une vulnérabilité XSS.

2. Tester une injection XSS

  1. Ouvrez la page vulnérable dans Firefox.
  2. Dans un champ de saisie (exemple : un champ de recherche), entrez le code suivant : 
    <script>alert('XSS')</script>
  3. Validez et observez si une alerte apparaît sur la page.

- Vérification

  • Si une boîte de dialogue s’affiche avec le message "XSS", la faille est exploitable.
  • Si rien ne se passe, essayez une autre page vulnérable.
Une solution
Merci Acunetix

Nous remercions TestPHP.Vulnweb.com et Acunetix pour la mise à disposition de cette plateforme d’apprentissage. Ce site permet d’expérimenter en toute sécurité les tests de vulnérabilités Web et contribue à la formation en cybersécurité. Merci pour cette ressource précieuse !