Introducción a Zaproxy

La herramienta que conoceremos en este E book es utilizada para el análisis web la cual tiene una asombrosa versatilidad y características que pueden resultar de gran ayuda al momento de realizar una auditoría.

Hablaremos de Zed Attack Proxy (ZAP), un proyecto desarrollado por la comunidad de OWASP y cuyo lider de proyecto es Simon Bennetts.

Owasp ZapProxy

La url del proyecto es: OWASP Zed Attack Proxy Project

Todas las pruebas que haremos con Zap a lo largo del libro serán llevadas a cabo sobre Kali Linux, no es requisito indispensable que virtualicen o instalen un Kali ya que Zap está desarrolado en java y por ende es multiplataforma.

La descarga puede ser realizada desde Github, allí se encuentran las versiones para los distintos Sistemas Operativos (Linux, Windows y Mac) y el core que contiene funciones mínimas. De todos modos, la versión para Linux es cross plataform, recomiendo bajar esa.

El único requisito que tiene es tener la versión 7 de java o superior.

Comencemos a ver de qué se trata (utilizaremos la versión 2.4.0 para Linux desde un Kali), ingresemos a /usr/share/zaproxy y luego listemos para ver los archivos que tiene dentro:

Listado de /usr/share/zaproxyroxy

Aquí podemos encontrar las base de datos que utiliza, filtros. lenguajes, librerías, scripts, etc. Es interesante analizar el contenido de cada directorio, pero eso queda en sus manos.

Lo que nos interesa son dos archivos, el zap.sh para correr desde plataformas Linux y zap-2.4.0.jar para poder correr desde cualquier SO.

Para inicializar desde el jar:

Inicio de Zaproxy

Se puede utilizar el mismo comando para inicializarlo desde windows.

Para inicializar desde el script:

Inicio desde zap.sh

Para inicializar desde el menú:

Inicio desde el menu

Cualquiera de las formas que iniciemos el Zap está bien, una vez levante el GUI, nos encontraremos con una aplicación muy intuitiva y sencilla de usar:

Interfaz de Zap

En el campo “URL to attack” ingresamos el target a analizar, en éste primer caso analizaremos “http://scanme.nmap.org”.

Cabe aclarar que siempre debemos ingresar el protocolo, es decir si el sitio que queremos analizar se comunica por http o por https, si ingresamos solo e nombre de dominio nos mostrará el siguiente error:

Mensaje de Error

En la próxima sección analizaremos los output que nos entrega como resultado del análisis y comenzaremos con algunas pruebas.