O documento apresenta uma introdução ao Zed Attack Proxy (ZAP), uma ferramenta open source para teste de penetração em aplicações web. Ele discute o que é o OWASP e o ZAP, seus principais usuários, recursos como proxy, scanner e fuzzing, e demonstra como usar o ZAP para analisar vulnerabilidades em uma aplicação de teste.
2. AGENDA
Um pouco sobre o Owasp ZAP?
Principais interessados
Visão Geral do ZAP
Testando uma Aplicação utilizando ZAP (Demonstração)
Professor: Claudio Cavalcante
2
3. Um pouco sobre o Owasp ZAP?
OWASP(Open Web Application Security Project)
Organização internacional sem fins lucrativos.
Fundada em 01/12/2001
Objetivo – fomentar o desenvolvimento de
aplicações segura para a Web
https://www.owasp.org/index.php/About_OWASP
Professor: Claudio Cavalcante
3
4. Um pouco sobre o Owasp ZAP?
ZAP(Zed Attack Proxy)
Ferramenta que facilita realizar
penetração em aplicações Web.
teste
de
Possui scanners automatizados e um conjunto de
ferramentas que facilita encontrar vulnerabilidades
de segurança em aplicações Web.
https://www.owasp.org/index.php/OWASP_Zed_Atta
ck_Proxy_Project
Professor: Claudio Cavalcante
4
7. Visão Geral do ZAP
Proxy de aplicação (HTTP e HTTPs) - MiTM
Scanner de Automatizado de exploração de vulnerabilidades
Inclusão de Breakpoint – (Request and Response)
Breakpoints personalizados
Professor: Claudio Cavalcante
7
8. Visão Geral do ZAP
Alertas automatizados de vulnerabilidades encontradas
Ferramenta de Fuzzer
Identificação de URLs da Aplicação (Spider)
Extensível através de Scripts e Plugins
Professor: Claudio Cavalcante
8
9. Testando uma Aplicação utilizando ZAP
(Demonstração)
Fazendo Download !!
http://sourceforge.net/projects/zaproxy/files/2.2.2/
Pré-requisito – Java 7
http://java.com/en/download/index.jsp
Aplicação de teste
http://servidortestes.mundodroid.com.br
/dvwa/login.php
Professor: Claudio Cavalcante
9
10. Testando uma Aplicação utilizando ZAP
(Demonstração)
Interceptando/modificando o tráfego
Analisando alertas
Scanner automatizado
Utilizando Fuzzing – Autenticação por Força bruta
Automatizando análise de Sql Injection
Automatizando análise de XSS
Utilizando a função Spider
Professor: Claudio Cavalcante
10
11. Até a próxima aula
DEIXE SEUS COMENTÁRIOS.
SE GOSTOU. CURTE!!
Professor: Claudio Cavalcante
11