Actualización y Plugins en Zap

Aprovechando que recien se liberó la versión 2.4.2 de Zap, en este capítulo veremos la manera de actualizar, además de la instalación y uso de los plugins.

Para actualizar la herramienta, tenemos que ir a la pestaña ‘Help’ y seleccionar ‘Check for Updates’.

Revisión de Actualizaciones

Se abrirá el ‘Manage Add-ons’ y si no tenemos la última versión, nos aparecerá un mensaje indicándonos que existe una versión más reciente.

Listado de Add-ons

Damos click en ‘Download ZAP’ y comenzará la descarga en segundo plano, como lo indica el texto en la parte inferior de la ventana.

Descarga de ZAP

Una vez, hecho ésto, levantamos una consola y listamos con ‘ls’ sobre ~.

Listado desde la Terminal

Nos movemos al directorio ‘.ZAP/plugin’ y al listar vemos que ya tenemos la versión nueva.

Directorio de Plugin's

En caso de no estar el ‘.tar.gz’ con la versión nueva, podemos descargarla directamente desde GITHUB o haciendo un ‘wget’.

Descarga de Plugin's

Cuando lo tengamos, debemos descomprimir el archivo compreso de la siguiente manera.

Descompresión de Ficheros

Y por último movemos toda el directorio de ZAP nuevo para pisar el viejo sobre ‘/usr/share/zaproxy’.

Sobre Escritura de ZAP

Iniciamos ZAP para corroborar:

Inicio de Zap

Con la última versión de ZAP, vienen varios add-ons interesantes y varios updates. Para visualizar los plugins debemos ir al ‘Manage add-ons’ como vimos más arriba o simplemente con ‘Ctrl+u’. Si deseamos ver de queé se trata un plugin, basta con hacerle click para que nos muestre más información.

Manejo de Add-ons

Para el siguiente ejemplo, instalaremos y veremos el funcionamiento de un plugin llamado ‘Call Graph’. Lo seleccionamos y clickleamos en ‘Install Selected’.

Instalación de Plugin

Una vez finalizado, vamos sobre nuestro ya conocido ‘google-grouyere.appspot.com’ y haciendo click secundario ya tendremos la opción del plugin que acabamos de instalar disponible.

Instalación completa

Si seleccionamos la opción de ‘All Site’, veremos un diagrama de todos los directorios, subdirectorios y archivos que se ha identificado el scanner.

Diagrama de Directrios

Los invito a que revisen el resto de los plugins, hay muchísimos muy interesantes como ‘Log File Importer, Browser View, fuzzdb files, Python Scripting’ entre otros.

Para finalizar, quisiera agradecer a Simon Bennetts (@psiinon) y a Cristian Borghello (@SeguInfo) por el agradecimiento y difusión de las entradas del blog.