OWASP ZAP
tools
OWASP ZAP (Zed Attack Proxy) es una herramienta gratuita, de código abierto y mantenida por una comunidad internacional de voluntarios, diseñada para encontrar y corregir vulnerabilidades de seguridad en aplicaciones web. Actúa como un proxy de interceptación, ubicándose entre el navegador y la aplicación web para inspeccionar y modificar el tráfico, permitiendo a desarrolladores y pentesters detectar y mitigar fragilidades como inyecciones SQL y XSS durante el desarrollo y las pruebas.
Instalación de OWASP ZAP
OWASP zap no suele venir por defecto en sistemas de pentesting como ParrotOS o Kali Linux, puedes descargarlo manualmente en:
o desde la terminal utilizando:
sudo apt install zaproxyla herramienta cuenta tanto con Interfaz Grafica o uso desde la terminal.
Uso de OWASP Zap GUI
como configurar el proxie de OWASP ZAP
el proxie de owasp zap trabaja por el puerto 8080 en la dirección loopback 127.0.0.1, podemos configurar el proxie mediante extensiones como Foxyproxy en firefox:
al descargar la extensión, dale click y deberias ver la siguiente interfaz:
(Burpsuite, proxie y Burp son proxies que yo configure anteriormente para mi, a ti no te aparecerán) debes dar click en Options :
de aquí, vamos a Proxies , despues al botón de Add y nos aparecerá lo siguiente:
aquí configuraremos un proxie que permita a burpsuite interceptar solicitudes, esta es la configuración:
Title (opcional): puedes ponerle un titulo al proxie
Color (opcional): asignar un color
Hostname:
127.0.0.1(loopback)Port:
8080
Presiona Save, y ahora al presionar el icono de la extensión puedes conectarte al proxie cuando quieras interceptar una petición. Puedes desactivarlo con el botón Disable:
puedes Capturar tráfico web navegando por el sitio objetivo.
Verás las solicitudes en el site tree.
ZAP actúa como un proxie, por lo que, Puedes modificar peticiones antes de enviarlas al servidor.
podemos escanear activamente por vulnerabilidades en cada solicitud:
Haz clic derecho sobre un nodo > Attack > Active Scan.
Configura nivel de riesgo (
Low,Medium,High) y escanea para empezar con el análisis
el escaneo se puede automatizar mas con las siguientes opciones:
Quick Scan:
Selecciona un sitio en el site tree
Click derecho > Attack > Attack All URLs
se realiza el correspondiente escaneo activo y pasivo
Spidering:
Explora automáticamente todas las rutas del sitio
Click derecho sobre el sitio > Spider
Útil para descubrir endpoints ocultos
al detectar un problema, owasp zap los reporta en la pestaña de Alerts , se describe la descripción, riesgo y recomendación de mitigación para la vulnerabilidad. al final podras generar un reporte general en la pestaña de Report - Generate Report
otras funcionalidades en OWASP ZAP:
para el fuzzing, selecciona un parámetro > Attack > Fuzz > carga wordlist.
ZAP soporta scripts en JavaScript, Python, Groovy y Ruby
Uso de OWASP Zap desde la terminal
podemos correrlo como un daemon de la siguiente forma:
zap.sh -daemon -port 8080 -config api.disablekey=false# todo esto trabaja por endpoints REST
# CLI: Command Line Interface
# CI: Continuous Integration (Es una practica de desarrollo donde los cambios de codigo se integran y prueban automaticamente de manera frecuente)
# escaneo de un sitio
curl "http://127.0.0.1:8080/JSON/ascan/action/scan/?url=http://testphp.vulnweb.com&recurse=true"
# revisar el progreso de un escaneo
curl "http://127.0.0.1:8080/JSON/ascan/view/status/?scanId=0"
# Obtener alertas
curl "http://127.0.0.1:8080/JSON/core/view/alerts/?baseurl=http://testphp.vulnweb.com"
# Spidering
curl "http://127.0.0.1:8080/JSON/spider/action/scan/?url=http://testphp.vulnweb.com"
# generar reportes
curl "http://127.0.0.1:8080/OTHER/core/other/htmlreport/"
# generar un reporte redirigido a un archivo especifico
curl "http://127.0.0.1:8080/OTHER/core/other/htmlreport/" -o report.html
# fuzzing
curl "http://127.0.0.1:8080/JSON/fuzz/action/fuzz/?requestId=1¶meter=search&payloadsFile=/path/payloads.txt"Last updated