Ejecutar un Escaneo Automático con Zed Attack Proxy (ZAP)

  • Posted on: 18 January 2022
  • By: ReYDeS

La manera más fácil de empezar a utilizar ZAP es mediante la pestaña de Inicio Rápido. Este es un add-on de ZAP incluido automáticamente cuando se instala ZAP.

Para ejecutar un escaneo automático rápido realizar lo siguiente:

1. Iniciar ZAP para luego hacer clic en la pestaña “Inicio Rápido” sobre la Ventana del Espacio de Trabajo.
2. Hacer clic en el botón de Escaneo Automático
3. En el recuadro de la URL a Atacar, ingresar la URL completa de la aplicación web la cual se requiere atacar
4. Hacer clic en el botón Ataque

ZAP procederá a recorrer la aplicación web con su “spider”, y escaneará pasivamente cada página encontrada. Luego ZAP utilizará el escáner activo para atacar todas las páginas descubiertas, funcionalidades, y parámetros.

ZAP proporciona dos “spiders” para recorrer las aplicaciones web, se pueden utilizar una de ellas o ambas desde esta pantalla.

El spider tradicional de ZAP descubre enlaces examinando el HTML en las respuestas desde la aplicación web. El spider es rápido pero no siempre es efectivo cuando se explora una aplicación web AJAX, la cual genera enlaces utilizando JavaScript.

Para aplicaciones AJAX es probable el spider AJAX de ZAP sea más eficiente. Este spider explora la aplicación web invocando navegadores los cuales luego siguen los enlaces generados. El spider AJAX es más lento comparado con el spider tradicional, además requiere una configuración adicional para utilizarlo en un entorno “sin cabeceras.

ZAP escaneará pasivamente todas las peticiones y respuestas atravesándola. De tal manera únicamente realizará un escaneo pasivo de la aplicación web. El escaneo pasivo no cambia las respuestas de ninguna manera, y se le considera seguro. Este escaneo es también realizado en segundo plano, de tal manera no hace lenta la exploración. El escaneo pasivo es bueno para encontrar algunas vulnerabilidades, además como una forma de percibir el estado básico sobre la seguridad de la aplicación web, para localizar donde se justifica una mayor investigación.

El escaneo activo sin embargo intenta encontrar otras vulnerabilidades utilizando ataques conocidos contra la aplicación web. El escaneo activo es un ataque real sobre aquellas aplicaciones, consecuentemente las puede poner en riesgo, por lo cual no se debe utilizar el escaneo activo sin tener primero la autorización para probar.

Interpretar los Resultados de la Prueba

Conforme ZAP realiza un “spidering” de la aplicación web, construye un mapa sobre las páginas de la aplicación web, y otros recursos utilizados para dibujar estas páginas. Además registra las peticiones y respuestas enviadas hacia cada página, y crea alertas si existe algo potencialmente erróneo con la petición o respuesta.

Ver las Páginas Exploradas

Para examinar la vista de árbol de las páginas exploradas, hacer clic en la pestaña Sitios en la Ventana de Árbol. Se pueden expandir los nodos para ver las URLs individuales accedidas.

Ver las Alertas y Detalles de las Alertas

El lado izquierdo de la parte inferior contiene una contabilización de las alertas encontradas durante la prueba, divididas en cuatro categorías. Estas categorías de riesgo son; Alta (bandera roja), Media (bandera naranja), Baja (bandera amarilla), Informativa (bandera azul), y falso positivo (bandera verde).

Para visualizar las alertas creadas durante las pruebas:

1. Hacer clic en la pestaña Alertas en la Ventana de Información.
2. Hacer clic en cada alerta mostrada en la ventana para mostrar la URL y la vulnerabilidad detectada en el lado derecho de la Ventana de Información.
3. En la Ventana del Espacio de Trabajo, hacer clic en la pestaña Respuesta para ver el contenido de la cabecera y el cuerpo de la respuesta. La parte de la respuesta generando la alerta será resaltada.

Fuentes:

https://www.zaproxy.org/getting-started/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete