El documento describe el uso de la herramienta ZAP para automatizar parte del proceso de pentesting de aplicaciones web. Explica cómo usar ZAP junto con la máquina virtual Web Security Dojo y la aplicación vulnerable WebGoat para descubrir URLs, lanzar ataques y detectar vulnerabilidades como inyecciones SQL, XSS y problemas en las cookies de forma automática. Sin embargo, aclara que las herramientas automáticas no sustituyen la revisión manual para confirmar las vulnerabilidades encontradas.

1. SEGURIDAD Y APLICACIONES WEB Licencia Creative Commons Esta obra esta distribuida bajo una licencia de: Reconocimiento (Attribution): En cualquier explotación de la obra autorizada por la licencia hará falta reconocer la autoría.

2. No Comercial (Non commercial): La explotación de la obra queda limitada a usos no comerciales.

3. Compartir Igual (Share alike): La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la misma licencia al ser divulgadas.

4. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Práctica WebPentesting:ZAP

5. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP En esta práctica veremos como se realiza parte de un web pentesting con una aplicación diseñada para automatizar cierta parte de la tarea. Para ello usaremos la máquina virtual Web Security Dojo

6. Como aplicación web vulnerable: Webgoat

7. Como aplicación de pentesting: ZAP

8. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Una vez arrancada la máquina virtual procedemos a arrancar webGoat

9. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

10. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

11. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

12. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Ahora arrancaremos OWASP ZAP

13. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

14. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP ZAP funciona como un proxy por lo que debemos configurar Firefox para que apunte a ZAP

15. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

16. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

17. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

18. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Una vez configurado firefox para usar como proxy zap refrescaremos la pantalla para que dicha petición pase ya por ZAP quedando registrada

19. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

20. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Una vez que hemos comprobado que todo funciona habrá que navegador por la aplicación para que vayan quedando registradas diversas url's de la aplicación que ZAP posteriormente usará tanto para atacar como para ser usadas como base del descubrimiento del site

21. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

22. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

23. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

24. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

25. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Realizamos el descubrimiento de las urls de la aplicación: Pasamos a ZAP y vemos que las urls han sido grabadas

26. Activamos el Spider, esta funcionalidad se encarga de seguir todos los enlaces que encuentra en las páginas grabadas para ser utilizados posteriormente durante la fase de ataque

27. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

28. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

29. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Pasamos a lanzar el descubrimiento de vulnerabilidades en la aplicación web

30. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

31. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP

32. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP