Fuzzing de Agentes de Usuario utilizando ZAP

  • Posted on: 22 April 2014
  • By: ReYDeS

En la presente práctica se utilizará la herramienta “Fuzzer” de Zed Attack Proxy (ZAP), la cual utilizará fuzzdb para realizar de manera automática la modificación del campo “User-Agent” de la petición realizada hacia una aplicación web objetivo. Esto con el propósito de detectar si el cambio en el “User Agent” o Agente de Usuario devuelve contenidos o funcionalidades diferentes desde la aplicación web objetivo.

En la publicación de título “Generar Tokens con Zed Attack Proxy”, se expuso brevemente sobre Zed Attack Prox - ZAP. De la misma manera, en la publicación de título “Fuzzing contra un Formulario de Registro utilizando ZAP” se expuso sobre “Fuzzing”. También se expuso en la publicación de nombre “Modificar el Agente de Usuario con User Agent Switcher” sobre los Agentes de Usuario.

Se ejecuta Zed Attack Proxy y se configura en Firefox su utilización como proxy, mediante el plugin FoxyProxy.

Al visitar con el navegador web el sitio web objetivo, se puede observar el tráfico interceptado por Zed Attack Proxy.

En el panel inferior seleccionar la petición a utilizar para el procedimiento de Fuzzing.

Hacer clic en la pestaña “Request” o Petición, seleccionar la cadena de texto a continuación del “User-Agent”, para luego hacer clic derecho y seleccionar la opción “Fuzz...”.

En “Fuzz Category” o Categoría de Fuzzing seleccionar “jbrofuzz / User Agents”. Luego hacer clic en “All User Agents” o Todos los Agentes de Usuario.

Al hacer clic en el botón de nombre “Fuzz” se iniciará el procedimiento de Fuzzing. Automáticamente se presentará la pestaña “Fuzzer” con los resultados obtenidos.

Los principales resultados a ser analizados se muestran en las columnas de nombres “Size” o Tamaño, “State” o Estado y “Fuzz”, donde se muestra el “User-Agent” utilizado para realizar la solicitud.

Fuentes:

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://code.google.com/p/fuzzdb/
http://www.reydes.com/d/?q=Generar_Tokens_con_Zed_Attack_Proxy_ZAP
http://www.reydes.com/d/?q=Fuzzing_contra_un_Formulario_de_Registro_util...
http://www.reydes.com/d/?q=Modificar_el_Agente_de_Usuario_con_User_Agent...
http://getfoxyproxy.org/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero