Esta serie de entradas fue realizada por Eric, BalderramaEric el cual nos demostro el potencial de la herramienta Owasp - Zed Attack Proxy (ZAP) en una serie de entradas especificamente en 10 como trabajar y llevar a cabo un análisis web con ayuda de la misma. Recordarles que tenemos disponible el Ebook de todas las entradas el cual se encuentra en el listado respectivo Guia de ZAP - Zed Attack Proxy Les recuerdo que debajo del buscador tenemos las guias y series de entradas que fueron realizadas en el blog y algunas que estan en actualización.

Esta guía, libro, ebook, recopilación como gusten llamarla, fue realizada con el fin de tener una referencia y guía para el trabajo con la herramienta OWASP ZAP, la cual estuvimos viendo en el blog, por un tiempo quisimos tanto mi persona Snifer, como Eric el autor de las entradas brindar todo el material en uno solo, para tenerlo a mano y hacer uso del mismo.  Esperamos que les agrade y sea de su gusto no se olviden si existe algún error o falla puedan notificarnos para mejorar, conforme vayamos mejorando, iremos actualizando el contenido hasta la presentación, ya en los próximos días saldra el de BurpSuite, y posterior a ello el de Pentesting con Kali, dar las gracias por todo a @BalderramaEric por animarse a escribir en este blog, que no es mas que un pedacito de internet, y bueno gracias a todos les dejo el link!

Nos encontramos ya en la última entrada sobre Zap, al menos por ahora, a lo largo de ésta cápsula veremos puntualmente la manera de manejar los reportes que nos permite exportar la tool. Generar un reporte. Una vez que terminamos de analizar el sitio, podemos ir a la pestaña ‘Reporte’ para elegir el tipo de reporte que queremos exportar. Los formatos más útiles son xml y html, ambos son personalizables y luego fácilmente se los puede convertir en pdf, como veremos en la siguiente práctica.

Queridos lectores, ésta será la anteúltima cápsula, como bien mencionó Snifer. Por lo tanto veremos algunos recursos pequeños pero sumamente útiles de Zap que nos han quedado pendientes pero que no son los lo suficientemente extensos como para dedicarles toda una cápsula. Ctrl+i: Mediante la combinación de éstas teclas, Zap abre una ventana desde la cual podemos elegir una lista de urls para poder realizar un análisis. También podemos encontrar la opción si vamos a la pestaña ‘Tools’ y seleccionamos ‘Import a file containing URLs’

Aprovechando que hace unos días se liberó la versión 2.4.2 de Zap, en ésta entrada veremos la manera de actualizar, además de la instalación y uso de los plugins. Para actualizar nuestra tool, tenemos que ir a la pestaña ‘Help’ y seleccionar ‘Check for Updates’ Se abrirá el ‘Manage Add-ons’ y si no tenemos la última versión, nos aparecerá un mensaje indicándonos que existe una versión más reciente.

Antes de comenzar a ver la forma de realizar scripts en Zap, veremos de qué se trata Zest, ya que si no entendemos bien la base, es complicado construir hacia arriba. Zest, es un lenguaje de programación especializado en el scripting creado por el equipo de desarrolladores de seguridad de Mozilla orientada a tools de seguridad. Si querés investigar un poco más, acá está el sitio oficial: (Mozilla Projects Zest).

El Forced Browse es un tipo de ataque para forzar la navegación dentro de un dominio con el fin de identificar recursos que no son accesibles desde una referencia (eso lo hace un crawling) pero aun están en algun directorio dentro del web server. Ya que tenemos claro el concepto, analicemos su puesta en marcha, veremos que bruteforcing sobre la navegación viene de la mano con la entrada anterior y el mecanismo es bastante similar.