Realizar un Spidering Dirigido por el Usuario utilizando Zed Attack Proxy

  • Posted on: 15 October 2014
  • By: ReYDeS

Un Spidering dirigido por el Usuario es una técnica más sofisticada y controlada, la cual es usualmente preferible a un spidering automático. En este escenario el usuario recorre o transita a través de la aplicación web de la manera usual utilizando un navegador web, intentando navegar a través de todas las funcionalidades de la aplicación web. Mientras esto es realizado, el tráfico resultante se pasa a través de una herramienta combinando un proxy de interceptación y spider, el cual vigila todas las peticiones y respuestas. La herramienta construye un mapa de la aplicación, incorporando todas las URLs visitadas por el navegador. Esta también interpreta todas las respuestas desde la aplicación en la misma manera como un spider consciente de la aplicación y actualiza el mapa con el contenido y funcionalidad que descubre.

Se inicia un navegador web como Firefox y se utiliza FoxyProxy para definir la utilización de Zed Attack Proxy como Proxy de interceptación. Luego se ingresa a la aplicación web en evaluación.

Se procede a navegar toda la aplicación normalmente, intentando visitar cada enlace / URL descubierta, completar y enviar cada formulario, y procediendo a través de todas las funciones de varios pasos hasta su culminación.

Opcionalmente se puede iniciar al Spider de Zed Attack Proxy, el cual utilizará todo el contenido ya enumerado como punto de inicio. Se sugiere identificar cualquier URL inadecuada que pueda romper la sesión con la aplicación, para excluirla del alcance del Spider.

Hacer clic derecho, para luego hacer seleccionar la opción “Attack -> Spider Subtree” o Ataque -> Spider a Rama.

Finalizado el proceso, anotar en el panel superior izquierdo correspondiente al mapa del sitio, la visualización de un nuevo icono “Araña” precediendo algunas URLs / Enlaces. Esto comunica que estos recursos han sido obtenidos o capturados mediante el Spider de ZAP. En el panel inferior de la pestaña “Spider” se visualiza en la columna “Flags” como algunas de las URLs / Enlaces descubiertos por el Spidering Dirigido por el Usuario han sido utilizados por la herramienta Spider de Zed Attack Proxy.

El mapa del sitio generado por el Proxy de Interceptación y el Spider contiene información valiosa sobre la aplicación objetivo, la cual será utilizada posteriormente para identificar diversas superficies de ataque expuestas por la aplicación web.

Fuentes:

https://code.google.com/p/zaproxy/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete