Fuzzing de Agentes de Usuario utilizando ZAP
En la presente práctica se utilizará la herramienta “Fuzzer” de Zed Attack Proxy (ZAP), la cual utilizará fuzzdb para realizar de manera automática la modificación del campo “User-Agent” de la petición realizada hacia una aplicación web objetivo. Esto con el propósito de detectar si el cambio en el “User Agent” o Agente de Usuario devuelve contenidos o funcionalidades diferentes desde la aplicación web objetivo.
En la publicación de título “Generar Tokens con Zed Attack Proxy”, se expuso brevemente sobre Zed Attack Prox - ZAP. De la misma manera, en la publicación de título “Fuzzing contra un Formulario de Registro utilizando ZAP” se expuso sobre “Fuzzing”. También se expuso en la publicación de nombre “Modificar el Agente de Usuario con User Agent Switcher” sobre los Agentes de Usuario.
Se ejecuta Zed Attack Proxy y se configura en Firefox su utilización como proxy, mediante el plugin FoxyProxy.
Al visitar con el navegador web el sitio web objetivo, se puede observar el tráfico interceptado por Zed Attack Proxy.
En el panel inferior seleccionar la petición a utilizar para el procedimiento de Fuzzing.
Hacer clic en la pestaña “Request” o Petición, seleccionar la cadena de texto a continuación del “User-Agent”, para luego hacer clic derecho y seleccionar la opción “Fuzz...”.
En “Fuzz Category” o Categoría de Fuzzing seleccionar “jbrofuzz / User Agents”. Luego hacer clic en “All User Agents” o Todos los Agentes de Usuario.
Al hacer clic en el botón de nombre “Fuzz” se iniciará el procedimiento de Fuzzing. Automáticamente se presentará la pestaña “Fuzzer” con los resultados obtenidos.
Los principales resultados a ser analizados se muestran en las columnas de nombres “Size” o Tamaño, “State” o Estado y “Fuzz”, donde se muestra el “User-Agent” utilizado para realizar la solicitud.
Fuentes:
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://code.google.com/p/fuzzdb/
http://www.reydes.com/d/?q=Generar_Tokens_con_Zed_Attack_Proxy_ZAP
http://www.reydes.com/d/?q=Fuzzing_contra_un_Formulario_de_Registro_util...
http://www.reydes.com/d/?q=Modificar_el_Agente_de_Usuario_con_User_Agent...
http://getfoxyproxy.org/
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/