ใดใดในโลกย่อมมีช่องโหว่ อย่างที่ว่าสี่ตีนยังรู้พลาด นักปราชญ์ยังรู้พลั้ง แล้วเหตุไฉนเว็บไซต์ของเราจะไม่มีช่องโหว่ล่ะ วันนี้เราจะพามารู้จักกับโปรแกรมระดับเทพที่เหล่า Dev พัฒนาเว็บไซต์ หรือ Tester ควรมีติดเครื่องไว้ เพื่อทดสอบเว็บไซต์ของเราให้ปลอดภัยยิ่งขึ้นๆๆๆๆ
โปรแกรมที่เรานำมาเสนอวันนี้ก็คือ OWASP ZAP (Zed Attack Proxy) โปรแกรมที่จะช่วยให้เราสแกนช่องโหว่ด้าน Security ต่าง ๆ ของเว็บไซต์โดยอัตโนมัติ ใช้งานง่ายแถมมีประสิทธิภาพสูง และที่สำคัญโปรแกรมนี้เป็นแบบ Open source ซึ่งก็หมายความว่าฟรีนั่นเอง ไม่ต้องไปเสียตังค์ซื้อ
ดีและฟรีมีอยู่จริง
ซึ่งฟีเจอร์เด่น ๆ ของ ZAP มีดังนี้
- Intercepting Proxy
- Automated Scanner
- Passive Scanner
- Brute Force Scanner
- Fuzzer
- Port Scanner
- Spider
- Web Sockets
- REST API
ฟีเจอร์ที่ครบครันขนาดนี้จะรอช้าอยู่ใย เข้าไปดาวน์โหลด จากลิงค์นี้ได้เลย
https://www.zaproxy.org/download/ และที่สำคัญชาว Mac ไม่ต้องน้อยใจ ZAP ไม่ได้ทิ้งใครไว้ข้างหลัง โปรแกรมรองรับไปทุกระบบปฏิบัติการทั้ง Windows, macOS และยังรองรับ Linux อีกด้วย
โน๊ตเอาไว้ตัวโตๆ เราจะเอา ZAP ไปสแกนทดสอบเว็บไซต์ใดใดมั่วไม่ได้มันผิดกฎหมาย!
ก่อนจากกันก็ลองทดสอบยิงเว็บไซต์ tlogical.com รัวๆ เอ้ยย ไม่ได้! อย่าเลยนะเดี๋ยวงานเข้า