Embed Size (px)
Citation preview
Día de la Seguridad Informática en la ULS
TALLER DE OWASPBy Jonathan Mejia & Francisco Trejo
OWASP Zed Attack Proxy(ZAP)
Sitios autorizados para uso en el taller.http://www.delfos-cloud.comhttp://npwebdesing.tk/assets/cliente/home.phphttp://computerforense.260mb.net/login.phphttp://tgm-rrhh.mipropia.com/index.php?action=Login&module=Users
OWASP Zed Attack Proxy
Project
Descargar:https://github.com/zaproxy/zap
roxy/wiki/Downloads
FUNCIONALIDADES● Intercepting Proxy● Traditional and AJAX spiders● Automated scanner● Passive scanner● Forced browsing● Fuzzer● Dynamic SSL certificates● Smartcard and Client Digital Certificates
supporT
● Web sockets support● Support for a wide range of scripting
languages● Plug-n-Hack support● Authentication and session support● Powerful REST based API● Automatic updating option● Integrated and growing marketplace of
add-ons
Intercepting Proxy
Proxy de interceptación:
ZAP es un proxy de interceptación. Le permite ver todas las solicitudes que realiza en una aplicación web y todas las respuestas que recibe de ella.
También funciona para poder examinar la comunicación que existe entre otros dispositivos conectados a la red donde zap sirve de proxy.
Traditional and AJAX Spiders
Spiders es una herramienta que se utiliza para descubrir automáticamente nuevos recursos (URL) en un Sitio en particular. Comienza con una lista de direcciones URL a visitar, llamadas las semillas, que depende de cómo se inicia la Araña. A continuación, la Araña visita estas URL, identifica todos los hipervínculos de la página y los agrega a la lista de URL a visitar y el proceso continúa recursivamente siempre que se encuentren nuevos recursos.
Automated scanner
La exploración activa intenta encontrar vulnerabilidades potenciales mediante ataques conocidos contra los destinos seleccionados.
Cabe señalar que el escaneo activo sólo puede encontrar ciertos tipos de vulnerabilidades. Las vulnerabilidades lógicas, como el control de acceso roto, no serán encontradas por ningún análisis de vulnerabilidades activo o automatizado. Siempre se deben realizar pruebas de penetración manual además de la exploración activa para encontrar todos los tipos de vulnerabilidades.
Passive scanner
ZAP analiza pasivamente todas las respuestas de la aplicación web que se está probando. El escaneo pasivo no cambia las respuestas de ninguna manera y por lo tanto es seguro de usar. La exploración se realiza en un subproceso de fondo para garantizar que no ralentiza la exploración de una aplicación.
Forced browsing
La navegación forzada es un ataque en el que el objetivo es enumerar y acceder a recursos que la aplicación no hace referencia, pero que siguen siendo accesibles.
Fuzzer
Un fuzzer es un programa que inyecta automáticamente datos semi-aleatorios en un programa / pila y detecta errores.
La parte de generación de datos está formada por generadores, y la identificación de vulnerabilidades depende de las herramientas de depuración.
Dynamic SSL certificatesOWASP ZAP le permite descifrar transparentemente las conexiones SSL. Para ello, ZAP tiene que cifrar cada solicitud antes de enviar al servidor y
descifrar cada respuesta, que vuelve. Pero, esto ya es hecho por el navegador. Por eso, la única manera de descifrar o interceptar la
transmisión, es hacer un "hombre en el medio" enfoque.
Smartcard and Client Digital Certificates supporT
OWASP ZAP proporciona soporte de autenticación basado en tarjetas inteligentes para aplicaciones web que utilizan certificados digitales HTTPS (SSL / TLS) y X.509.
WebSockets Support
WebSockets puede ser utilizado por aplicaciones web o sitios web para configurar un canal de comunicación bidireccional bidireccional (full-duplex) a través de una sola conexión TCP. Cuenta con un protocolo ligero que permite a los desarrolladores realizar casos de uso en tiempo real. Los WebSockets también proporcionan una alternativa al uso intensivo de Ajax, HTTP Long Polling o Comet.
Support for a wide range of scripting languages
El complemento de secuencias de comandos ZAP le permite ejecutar secuencias de comandos que se pueden incrustar en ZAP y puede acceder a estructuras de datos internas de ZAP. Soporta cualquier lenguaje de scripting compatible con JSR 223
Plug-n-Hack support
Plug-n-Hack es un estándar propuesto por el equipo de seguridad de Mozilla para definir cómo las herramientas de seguridad pueden interactuar con los navegadores de una manera más útil y útil.
Este complemento agrega un botón 'Plug-n-Hack' a la pestaña Quickstart. Si hace clic en este botón, podrá configurar su navegador para que funcione con ZAP rápida y fácilmente.
Authentication and session support
Autenticación y gestión de sesiones incluye todos los aspectos de la gestión de la autenticación de usuarios y la gestión de las sesiones activas. La autenticación es un aspecto crítico de este proceso, pero incluso los sólidos mecanismos de autenticación pueden verse socavados por las funciones de administración de credenciales defectuosas, como cambiar la contraseña, olvidé mi contraseña, recordar mi contraseña, actualizar la cuenta y otras funciones relacionadas..
Powerful REST based API
Este proyecto está diseñado para atender el número cada vez mayor de organizaciones que están implementando API potencialmente sensibles como parte de sus ofertas de software. Estas API se utilizan para tareas internas y para interactuar con terceros. Desafortunadamente, muchas APIs no se someten a las rigurosas pruebas de seguridad que las hacen seguras frente a los ataques.
Automatic updating option
Opción de actualización automáticas del aplicativo y sus funciones.
Integrated and growing marketplace of add-ons
Si está utilizando la última versión de ZAP, puede buscar y descargar complementos desde ZAP haciendo clic en este botón en la barra de
herramientas:
GRACIAS
