ZAP (Zed Attack Proxy) es una herramienta gratuita y de código abierto para pruebas de penetración. Permite interceptar tráfico web, escanear activamente y pasivamente aplicaciones en busca de vulnerabilidades, rastrear enlaces mediante un araña, y probar fuerza bruta y fuzzing. El documento proporciona enlaces de descarga para ZAP y una aplicación de prueba, e incluye una demostración de las capacidades de interceptación, modificación de peticiones, escaneo activo y fuzzing.
2. ¿Por qué ZAP?
• Dado que es imposible construir aplicaciones web que sean
seguras si no se sabe como atacarlas
• Y como para muchos desarrolladores las pruebas de penetración
son Magia Negra
• Entonces enseñemos a los desarrolladores las técnicas básicas de
penetración (Además de técnicas de desarrollo seguro, el OWASP
Top Ten, Ciclos de desarrollo de software seguro, análisis estático
de código, revisiones de código, etc., etc.)
3. ¿Qué es ZAP?
• Herramienta de pruebas de penetración
• Multiplataforma, facil de usar e instalar
• Basado en Paros Proxy
• Amplia documentación (https://github.com/zaproxy/zap-core-help/wiki)
5. Lista de materiales
• Descargar de: https://github.com/zaproxy/zaproxy/wiki/Downloads
• Aplicación de prueba: The Bodgeit Store
https://code.google.com/p/bodgeit/downloads/list
• Apache Tomcat http://apache.webxcreen.org/tomcat/tomcat-8/
v8.0.23/bin/apache-tomcat-8.0.23.tar.gz
6. Demo
• Interceptar llamadas
• Modificar valores en parámetros de una petición
• Modificar valores en Cookies de una petición
• Active Scanner
• Fuzzer