Configurar Zed Attack Proxy Manualmente con Firefox

  • Posted on: 16 January 2019
  • By: ReYDeS

OWASP Zed Attack Proxy (ZAP), es una de las herramientas libres de seguridad más populares a nivel mundial, y es activamente mantenida por cientos de voluntarios a nivel internacional. Esta herramienta puede ayudar a encontrar automáticamente vulnerabilidades de seguridad en las aplicaciones web, mientras se desarrollan y prueban las aplicaciones. También es una gran herramienta para profesionales experimentados en pruebas de penetración, quienes lo utilizan para realizar pruebas manuales. Zed Attack Proy está instalado por defecto en Kali Linux.

Para configurar Zed Attack Proxy, e interceptar todas las peticiones y respuestas HTTP/S, se necesita configurar al navegadora para instruirlo a utilizar ZAP. La configuración depende del navegador web utilizado. Para este caso se utiliza la versión de Firefox incluida en Kali Linux.

En Firefox hacer clic en el icono “Open Menu” o Abrir Menú. Para luego seleccionar la opción “Preferences” o Preferencias.

Hacer clic en “General”, ubicado en el lado izquierdo de Firefox. Luego bajar hasta la sección “Network Proxy” o Proxy de Red. Hacer clic en el botón “Settings...” o Configuraciones…

Activar la opción “Manual proxy configuration” o Configuración manual del proxy. Y en el campo “HTTP Proxy” o Proxy HTTP, escribir 127.0.0.1, localhost, o la dirección IP adecuada. En “Port” o Puerto, escribir el puerto en el cual está atendiendo ZAP, por defecto es en el puerto TCP 8080, aunque esto se puede también cambiar en caso sea pertinente. Se sugiere también activar la opción “Use this proxy server for all protocols” o Utilizar este servidor proxy para todos los protocolos. Igual en caso se requiera , es factible realizar ajustes puntuales a esto. Finalmente hacer clic en el botón “OK”.

Ejecutar Zed Attack Proxy

En Firefox ingresar a la página pertinente. Luego de lo cual Zed Attack Proxy interceptará todas las peticiones y respuestas.

Zed Attack Proxy incluye una gran cantidad de información, incluyendo, documentación, videos, presentaciones, etc. Se sugiero revisar el sitio web del proyecto.

Fuentes:

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://github.com/zaproxy/zaproxy/wiki/Introduction

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1