OWASP Zed Attack Proxy

El Zed Attack Proxy (ZAP) es una herramienta libre escrita en Java proveniente del Proyecto OWASP para realizar, en primera instancia, tests de penetración en aplicaciones web aunque también puede ser usado por desarrolladores en su trabajo diario. Al día de hoy se encuentra en su versión 2.1.0 y necesita Java 7 para ejecutarse, aunque yo lo uso en Debian GNU/Linux bajo OpenJDK 7. Para los que estamos iniciando en el mundo de las seguridad en aplicaciones web, es una excelente herramienta para pulir nuestras habilidades.

Entre las muchas características de ZAP, les voy comentar las siguientes:

• Proxy de interceptación: Ideal para los que somos newbies en este campo de la seguridad, configurado de la manera correcta, permite ver todo el tráfico entre el navegador y el servidor web de turno, dejando ver de forma sencilla las cabeceras y cuerpo de los mensajes HTTP sin importar el método usado (HEAD, GET, POST, etc). Además podremos modificar el tráfico HTTP a nuestro antojo en ambas direcciones de la comunicación (entre el servidor web y el navegador).
• Spider: Es una característica que ayuda a descubrir nuevas URL’s en el sitio auditado. Una de las maneras que realiza esto es analizando el código HTML de la página para descubrir etiquetas <a> y seguir sus atributos href.
• Forced Browsing: Intenta descubrir directorios y archivos no indexados en el sitio como pueden ser páginas de inicio de sesión. Para lograrlo cuenta por defecto con una serie de diccionarios que utilizará para realizar peticiones al servidor esperando status code de respuesta 200.
• Active Scan: Genera de manera automatizada diferentes ataques web contro el sitio como CSRF, XSS, Inyección SQL entre otros.
• Y muchas otras: En realidad son muchas otras características como:  Soporte para web sockets desde las versión 2.0.0, AJAX Spider, Fuzzer, y otras cuantas.

Configuración con Firefox

Podemos configurar el socket por el cual quedará escuchando ZAP si vamos a Tools -> Options -> Local Proxy. En mi caso lo tengo escuchando por el puerto 8018:

Configuración «Local proxy»

Luego abrimos las preferencias de Firefox y vamos a Avanzadas -> Red -> Configuración -> Configuración manual de proxy. Indicamos el socket que previamente configuramos en ZAP:

Configurar proxy en Firefox

Si todo ha salido bien, estaremos enviando todo nuestro tráfico HTTP hacia ZAP y este se encargará de redirigirlo como lo haría cualquier proxy. A manera de ejemplo ingreso desde el navegador a este blog y observemos qué pasa en ZAP:

Vista general de ZAP

Podemos ver que se han generado más de 100 mensajes HTTP (la mayoría usando el método GET) para cargar completamente la página. Como vemos en la pestaña Sites no solamente se ha generado tráfico hacía este blog, sino también hacía otra páginas. Una de ellas es Facebook y se genera por el plugin social al pie de la página «Síguenos en Facebook». También hacía Google Analytics lo que indica la presencia de dicha herramienta para el análisis y visualización de estadísticas de este blog por parte de los administradores del sitio.

Podemos también observar detalladamente cada uno de los mensajes HTTP intercambiados, veamos la respuesta que se generó por parte del servidor web de este blog cuando ingresé a la dirección http://desdelinux.net escogiendo su respectiva petición HTTP GET:

Detalle de mensaje HTTP

Observamos que se recibió un status code 301, el cual indica una redirección que va dirigida hacia https://blog.desdelinux.net/.

ZAP se convierte en una excelente alternativa completamente libre a BurpSuite para los que nos estamos iniciando en este apasionante mundo de la seguridad web, seguramente pasaremos horas y horas al frente de esta herramienta aprendiendo diferentes técnicas de hacking web, yo llevo unas cuantas. 😛