El Zed Attack Proxy (ZAP) es una herramienta libre escrita en Java proveniente del Proyecto OWASP para realizar, en primera instancia, tests de penetraciรณn en aplicaciones web aunque tambiรฉn puede ser usado por desarrolladores en su trabajo diario. Al dรญa de hoy se encuentra en su versiรณn 2.1.0 y necesita Java 7 para ejecutarse, aunque yo lo uso en Debian GNU/Linux bajo OpenJDK 7. Para los que estamos iniciando en el mundo de las seguridad en aplicaciones web, es una excelente herramienta para pulir nuestras habilidades.
Entre las muchas caracterรญsticas de ZAP, les voy comentar las siguientes:
- Proxy de interceptaciรณn: Ideal para los que somos newbies en este campo de la seguridad, configurado de la manera correcta, permite ver todo el trรกfico entre el navegador y el servidor web de turno, dejando ver de forma sencilla las cabeceras y cuerpo de los mensajes HTTP sin importar el mรฉtodo usado (HEAD, GET, POST, etc). Ademรกs podremos modificar el trรกfico HTTP a nuestro antojo en ambas direcciones de la comunicaciรณn (entre el servidor web y el navegador).
- Spider: Es una caracterรญstica que ayuda a descubrir nuevas URLโs en el sitio auditado. Una de las maneras que realiza esto es analizando el cรณdigo HTML de la pรกgina para descubrir etiquetas <a> y seguir sus atributos href.
- Forced Browsing: Intenta descubrir directorios y archivos no indexados en el sitio como pueden ser pรกginas de inicio de sesiรณn. Para lograrlo cuenta por defecto con una serie de diccionarios que utilizarรก para realizar peticiones al servidor esperandoย status code de respuesta 200.
- Active Scan: Genera de manera automatizada diferentes ataques web contro el sitio como CSRF, XSS, Inyecciรณn SQL entre otros.
- Y muchas otras: En realidad son muchas otras caracterรญsticas como:ย Soporte para web sockets desde las versiรณn 2.0.0, AJAX Spider, Fuzzer, y otras cuantas.
Configuraciรณn con Firefox
Podemos configurar el socket por el cual quedarรก escuchando ZAP si vamos a Tools -> Options -> Local Proxy. En mi caso lo tengo escuchando por el puerto 8018:
Configuraciรณn ยซLocal proxyยป
Luego abrimos las preferencias de Firefox y vamos a Avanzadas -> Red -> Configuraciรณn -> Configuraciรณn manual de proxy. Indicamos el socket que previamente configuramos en ZAP:
Configurar proxy en Firefox
Si todo ha salido bien, estaremos enviando todo nuestro trรกfico HTTP hacia ZAP y este se encargarรก de redirigirlo como lo harรญa cualquier proxy. A manera de ejemplo ingreso desde el navegador a este blog y observemos quรฉ pasa en ZAP:
Podemos ver que se han generado mรกs de 100 mensajes HTTP (la mayorรญa usando el mรฉtodo GET) para cargar completamente la pรกgina. Como vemos en la pestaรฑa Sites no solamente se ha generado trรกfico hacรญa este blog, sino tambiรฉn hacรญa otra pรกginas. Una de ellas es Facebook y se genera por el plugin social al pie de la pรกgina ยซSรญguenos en Facebookยป.ย Tambiรฉn hacรญa Google Analytics lo que indica la presencia de dicha herramienta para el anรกlisis y visualizaciรณn de estadรญsticas de este blog por parte de los administradores del sitio.
Podemos tambiรฉn observar detalladamente cada uno de los mensajes HTTP intercambiados, veamos la respuesta que se generรณ por parte del servidor web de este blog cuando ingresรฉ a la direcciรณn http://desdelinux.net escogiendo su respectiva peticiรณn HTTP GET:
Detalle de mensaje HTTP
Observamos que se recibiรณ un status code 301, el cual indica una redirecciรณn que va dirigida hacia https://blog.desdelinux.net/.
ZAP se convierte en una excelente alternativa completamente libre a BurpSuite para los que nos estamos iniciando en este apasionante mundo de la seguridad web, seguramente pasaremos horas y horas al frente de esta herramienta aprendiendo diferentes tรฉcnicas de hacking web, yo llevo unas cuantas. ๏
Eso es algo que e tengo que poner a hacer, mas que todo para probar lo que hago.
Es bastante interesante
Esta herramienta se ve mucho mรกs completa que el Microsoft Network Monitor. Se agradece el aporte.
Excelente, muchas gracias por la informaciรณn y explicaciรณn.
Saludos.
IMHO, creo que se tendrรญan que dejar estas herramientas para รกmbitos de seguridad, y no publicarlo en un blog de linux. Hay gente que la puede usar de manera irresponsable o inconsciente.
Las herramientas siempre van a ser herramientas de doble filo, ya que son usadas por los buenos y por los malos, lamentablemente eso no se puede evitar. OWASP ZAP es una herramienta reconocida por la comunidad EH en el รกmbito de la seguridad web y se usa para auditorรญas web. Recuerden: ยซCon un gran poder viene una gran responsabilidadยป.
Publiquรฉ dicha entrada porque me encuentro estudiando de manera autodidacta para ofrecer servicios de EH en un futuro y lo creรญ de interรฉs para los demรกs lectores. El fin no es que lo usen de manera ilรญcita ni mucho menos, de ahรญ la advertencia al inicio del post.
ยกSaludos!
PD1 -> :that’ssuspicious: ยฟTroll detected? me queda la duda….
PD2 -> Jjajaja Por favor que esto no se vuelva un flame war de acรก para abajo como en otros post.