OWASP Zed Attack Proxy (ZAP) es una herramienta de seguridad web open source que se puede usar para probar la seguridad de sitios web y aplicaciones. Ofrece funcionalidades como proxy de interceptación, arañas tradicionales y AJAX, escáner automatizado, escáner pasivo, navegación forzada, generador de fuzzing, soporte de certificados SSL dinámicos, autenticación y sesiones, API REST potente y una opción de actualización automática.
1. Día de la Seguridad
Informática en la ULS
TALLER DE OWASP
By Jonathan Mejia & Francisco Trejo
2. OWASP Zed Attack
Proxy
(ZAP)
Sitios autorizados para uso en el taller.
http://www.delfos-cloud.com
http://npwebdesing.tk/assets/cliente/home.php
http://computerforense.260mb.net/login.php
http://tgm-rrhh.mipropia.com/index.php?action=
Login&module=Users
4. FUNCIONALIDADES
● Intercepting Proxy
● Traditional and AJAX spiders
● Automated scanner
● Passive scanner
● Forced browsing
● Fuzzer
● Dynamic SSL certificates
● Smartcard and Client Digital Certificates
supporT
● Web sockets support
● Support for a wide range of scripting
languages
● Plug-n-Hack support
● Authentication and session support
● Powerful REST based API
● Automatic updating option
● Integrated and growing marketplace of
add-ons
5. Intercepting Proxy
Proxy de interceptación:
ZAP es un proxy de interceptación. Le permite ver todas las solicitudes que
realiza en una aplicación web y todas las respuestas que recibe de ella.
También funciona para poder examinar la comunicación que existe entre otros
dispositivos conectados a la red donde zap sirve de proxy.
6. Traditional and AJAX Spiders
Spiders es una herramienta que se utiliza para descubrir automáticamente
nuevos recursos (URL) en un Sitio en particular. Comienza con una lista de
direcciones URL a visitar, llamadas las semillas, que depende de cómo se inicia la
Araña. A continuación, la Araña visita estas URL, identifica todos los hipervínculos
de la página y los agrega a la lista de URL a visitar y el proceso continúa
recursivamente siempre que se encuentren nuevos recursos.
7. Automated scanner
La exploración activa intenta encontrar vulnerabilidades potenciales mediante
ataques conocidos contra los destinos seleccionados.
Cabe señalar que el escaneo activo sólo puede encontrar ciertos tipos de
vulnerabilidades. Las vulnerabilidades lógicas, como el control de acceso roto, no
serán encontradas por ningún análisis de vulnerabilidades activo o automatizado.
Siempre se deben realizar pruebas de penetración manual además de la
exploración activa para encontrar todos los tipos de vulnerabilidades.
8. Passive scanner
ZAP analiza pasivamente todas las respuestas de la aplicación web que se está
probando. El escaneo pasivo no cambia las respuestas de ninguna manera y por
lo tanto es seguro de usar. La exploración se realiza en un subproceso de fondo
para garantizar que no ralentiza la exploración de una aplicación.
9. Forced browsing
La navegación forzada es un ataque en el que el objetivo es enumerar y acceder a
recursos que la aplicación no hace referencia, pero que siguen siendo accesibles.
10. Fuzzer
Un fuzzer es un programa que inyecta automáticamente datos semi-aleatorios en
un programa / pila y detecta errores.
La parte de generación de datos está formada por generadores, y la identificación
de vulnerabilidades depende de las herramientas de depuración.
11. Dynamic SSL certificates
OWASP ZAP le permite descifrar transparentemente las conexiones SSL.
Para ello, ZAP tiene que cifrar cada solicitud antes de enviar al servidor y
descifrar cada respuesta, que vuelve. Pero, esto ya es hecho por el
navegador. Por eso, la única manera de descifrar o interceptar la
transmisión, es hacer un "hombre en el medio" enfoque.
12. Smartcard and Client Digital
Certificates supporT
OWASP ZAP proporciona soporte de autenticación basado en tarjetas inteligentes
para aplicaciones web que utilizan certificados digitales HTTPS (SSL / TLS) y
X.509.
13. WebSockets Support
WebSockets puede ser utilizado por aplicaciones web o sitios web para
configurar un canal de comunicación bidireccional bidireccional (full-duplex) a
través de una sola conexión TCP. Cuenta con un protocolo ligero que permite a
los desarrolladores realizar casos de uso en tiempo real. Los WebSockets
también proporcionan una alternativa al uso intensivo de Ajax, HTTP Long Polling
o Comet.
14. Support for a wide range of
scripting languages
El complemento de secuencias de comandos ZAP le permite ejecutar secuencias
de comandos que se pueden incrustar en ZAP y puede acceder a estructuras de
datos internas de ZAP. Soporta cualquier lenguaje de scripting compatible con
JSR 223
15. Plug-n-Hack support
Plug-n-Hack es un estándar propuesto por el equipo de seguridad de Mozilla para
definir cómo las herramientas de seguridad pueden interactuar con los
navegadores de una manera más útil y útil.
Este complemento agrega un botón 'Plug-n-Hack' a la pestaña Quickstart. Si hace
clic en este botón, podrá configurar su navegador para que funcione con ZAP
rápida y fácilmente.
16. Authentication and session
support
Autenticación y gestión de sesiones incluye todos los aspectos de la gestión de la
autenticación de usuarios y la gestión de las sesiones activas. La autenticación
es un aspecto crítico de este proceso, pero incluso los sólidos mecanismos de
autenticación pueden verse socavados por las funciones de administración de
credenciales defectuosas, como cambiar la contraseña, olvidé mi contraseña,
recordar mi contraseña, actualizar la cuenta y otras funciones relacionadas..
17. Powerful REST based API
Este proyecto está diseñado para atender el número cada vez mayor de
organizaciones que están implementando API potencialmente sensibles como
parte de sus ofertas de software. Estas API se utilizan para tareas internas y para
interactuar con terceros. Desafortunadamente, muchas APIs no se someten a las
rigurosas pruebas de seguridad que las hacen seguras frente a los ataques.
19. Integrated and growing
marketplace of add-ons
Si está utilizando la última versión de ZAP, puede buscar y descargar
complementos desde ZAP haciendo clic en este botón en la barra de
herramientas: