Dentro del análisis de aplicaciones web, la entrada de hoy está dedicada a OWASP ZAP (Zed Attack Proxy), una de las herramientas más potentes del proyecto OWASP.
Aunque el apunte de "...con OS X" en el título de la entrada realmente es irrelevante, ya que la herramienta a utilizar "OWASP ZAP" es igual en todas las plataformas, va dirigido a todos aquellos puristas y defensores de otras plataformas y en la línea de anteriores entradas, recordando de que con OS X o macOS Sierra (próximamente), se puede hacer exactamente hacking con todas las posibilidades.
OWASP ZAP, está disponible para multiples plataformas en (compatible incluso con Raspberry Pi):
Descarga: https://github.com/zaproxy/zaproxy/wiki/Downloads
Para Mac, se descarga un formato .dmg que gracias a la tecnología Mac ni si quiera hay que pasar un proceso de instalación, ya que tras abrirlo no tendremos más que arrastrar el icono de ZAP a la carpeta Aplicaciones.
Es una herramienta con unas características y/o funciones muy parecidas a Burpsuite. Algunas de ellas:
- Análisis de peticiones cliente/servidor.
- Localización de recursos.
- Análisis varios (Automáticos, pasivos, de sistemas de autenticación).
- Posibilidad de lanzar varios ataques a la vez.
- Uso de SSL dinámicos.
- Uso de plugins adicionales.
- Soporte de uso de DNI electrónico, certificados digitales, etc.
- Configuración de reglas.
En el caso de este escaneo de ejemplo, voy a utilizar unas direcciones que ya hemos visto en anteriores entradas, que la organización de Acunetix nos facilita como webs vulnerables, para realizar las pruebas, pero que en este caso nos sirven para lo que vamos a realizar.
- http://testphp.vulnweb.com
- http://testasp.vulnweb.com
- http://testaspnet.vulnweb.com
- http://testhtml5.vulnweb.com
Yo en mi caso, voy a utilizar - http://testaspnet.vulnweb.com.
Una vez tengamos la URL, damos a iniciar y el proceso empezará a correr y como suele pasar en todo escaneo, la duración será directamente proporcinal a la densidad y complegidad de la web a analizar.
En esta entrada me limitaré a explicar la herramienta y cada uno de sus apartados, para que el usuario tenga una mayor comprensión de ella y en siguientes entradas, pasaremos a realizar acciones de mayor complegidad.
Comovemos en la parte inferior, podemos ver como el proceso de análisis se divide en varios apartados:
Spider (la araña) nos muestra como la herramienta va analizando los diferentes archivos y directorios en busqueda de vulnerabilidades.
En "Escaneo Activo", se pueden ver en proceso directo, todas las peticiones que se van enviando "POST" ...
Si seleccionamos cualquiera de ellas, en la parte superior derecha de la ventana podremos estudiar o analizar, la petición que ha realizado la herramienta y la respuesta recibida por el sistema...
Algo muy interesante que nos ofrece OWASP ZAP es presenciar en directo el tipo y progreso de ataques que está realizando, dandonos la posibilidad de presenciar pruebas concretas. Esto mediante el "Show scan progress details".
Como vemos en la siguiente captura de pantalla, entre otros:
- Escaneos de directorio transversal.
- Inclusión de archivos.
- XSS.
- Inyecciones.
- Buffer overflow.
Una vez terminado el escaneo vamos a pasar a la parte más importante, ver las vulnerabilidades que se han encontrado en la URL a analizar.
Para ello vamos al botón "Alertas" caracterizado con el icono de una banderita roja o anaranjada.
Aquí vamos a encontrar como en cualquier otro escaner de vulnerabilidades, las encontradas, clasificadas según su gravedad.
En este caso vemos que ZAP ha encontrado dos vulnerabilidades de alto riesgo (caracterizadas en color rojo). De "Cross-site Scripting" y una de "inyección SQL".
23 de riesgo medio (color naranja) y otras tantas de bajo riesgo (color amarillo).
Si seleccionamos cualquiera de ellas, a la derecha del cuadro podemos ver la descripción completa de la vulnerabilidad, una posible solucción ofrecida por la herramienta y enlaces de referencia por si queremos documentarnos al respecto.
Finalmente, para procesos de auditoría ZAP nos da la posibilidad de guardar un reporte de vulnerabilidades en diferentes formatos.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.