OWASP ZAP: Guía de descarga, instalación y funcionalidades

8 min read
15 de septiembre de 2023

En el mundo de las pruebas de software, es esencial contar con herramientas efectivas para detectar y mitigar vulnerabilidades en las aplicaciones. OWASP ZAP (Zed Attack Proxy) se ha convertido en una herramienta de referencia para realizar pruebas de seguridad en aplicaciones web.

En el artículo explicaremos paso a paso cómo descargar, instalar y utilizar OWASP ZAP, además de explicar las principales funcionalidades de la herramienta.

Proceso de Instalación de Owasp Zap

1. Descarga e instalación de OWASP ZAP: a. Visita el sitio web oficial de OWASP ZAP (https://www.zaproxy.org/) y dirígete a la sección de descargas.

Proceso de instalación de OWASP ZAP

2. Una vez instalada la aplicación se nos abrirá una interfaz como esta:

Interface de Owasp Zap

Principales Secciones de Owasp Zap

Vamos a resaltar las partes más importantes que nos podremos encontrar y las partes más esenciales al momento de realizar nuestra prueba de seguridad para detección de vulnerabilidades.

Cabe resaltar que OWASP ZAP realiza un análisis superficial de la aplicación pero sin embargo esto nos puede dar una idea o incluso mostrarnos posibles fallas graves que tengamos a nivel de seguridad en nuestra aplicación o sitio Web

Lo primero que podemos destacar de la interfaz es la parte superior o menú de opciones donde nos encontraremos muchas de las funcionalidades de la herramienta

Dentro de la opción de archivo nos encontraremos las opciones que se pueden apreciar en la siguiente imagen 

Sesiones de Owasp Zap

donde podremos crear nuestras sesiones de pruebas, abrir alguna sesión guardada previamente o eliminar sesiones creadas

En la opción Ver podremos encontrarnos todas las opciones referente a las pestañas que podremos abrir mientras estamos ejecutando nuestra prueba


Manejo de la herramienta Owasp Zap

El opción de informe tendremos uno de los puntos más importantes y relevantes de la herramienta como lo son los informes, ya que podremos generar un informe más detallado de las posibles vulnerabilidades o alertas que nos arrojó la herramienta

Parametros de solicitudes en Owasp Zap

En la parte izquierda de nuestra interfaz encontraremos los contextos donde podremos  incluir URL específicas, parámetros de solicitud, encabezados HTTP, métodos de solicitud, cookies y más.

Por ejemplo, si tienes una aplicación web con una sección de inicio de sesión y una sección de administración, puedes crear dos contextos separados en ZAP: uno para la sección de inicio de sesión y otro para la sección de administración.

Contextos separados por sesiones en Owasp Zap

En la parte derecha tendremos las opciones de escaneo automatizado la cual nos permitirá realizar un escaneo pasando simplemente la url del sitio y permitiendo a la herramienta realizar las pruebas que considere oportunas 

Inicio de escaneo con Owasp Zap

Luego tendremos el escaneo manual, el cual nos permitirá abrir una instancia del navegador (Permite escoger el navegador en el que deseemos abrir la página) con una Url específica y así de manera manual ingresar a todas las partes del sitio que necesitemos escanear

Configuración escaneo manual con Owasp Zap

Escaneo manual con Owasp Zap

Al lado del escaneo automático tenemos la opción de aprender más, la cual nos va a llevar a información importante y documentación de la herramienta

Guia y opciones de Owasp Zap

Manual de ayuda y enseñanza de Owasp ZAP

En la parte inferior contamos inicialmente con 4 salidas posibles de datos:

Uso y manejo del Historial de Owasp Zap

  • Historial: En el historial podremos ver el tiempo de la petición realizada, podremos ver el método utilizado para la petición (GET, POST, etc), podremos ver la Url a la que se le hizo la petición, el código de respuesta que se devuelve (200 OK, 404, 302, etc).
  • Buscar: En la opción de buscar podemos buscar una palabra clave para alguna URL que queramos ver en concreto
  • Alertas: En alertas podremos ver las posibles alertas generadas por la aplicación con su respectivo nivel (Bajo, moderado, alto), además dentro de las alertas la propia herramienta nos muestra información detallada de la alerta y alguna posible solución

Ejercicio práctico de integración con Owasp Zap

A continuación realizaremos un ejemplo práctico con el sitio Web https://opencart.abstracta.us/ 

para ello necesitamos configurar el proxy de nuestro navegador, en este caso se utilizara mozilla 

- Abrimos el navegador y le damos opciones:

Configuracion de navegador para uso de Owasp Zap

Ajuste de archivos proxis para Owasp Zap

Configuración de conexión para Owasp Zap

Una vez configurado el navegador miramos la configuración de proxy que tenemos en OWASP ZAP 

Para ello ingresamos a herramientas y luego a opciones

Dentro en la opción de Network

Configuración de red para Owasp Zap

Dar clic en local servers/proxies

una vez verificado se debe dar clic en escaneo automatizado e ingresamos la URL y damos clic en atacar

Inicio escaneo automatizado con Owasp Zap

Una vez culminado el proceso en la parte inferior dentro del historial podemos observar la fecha de la petición y el tiempo

En la parte izquierda dentro de sitios podremos ver todas las urls escaneadas divididas por carpetas, debemos buscar la carpeta con la url a la cual estamos realizando el análisis.

Resultados escaneo automatizado con Owasp Zap

En la parte inferior en las alertas podemos ver todas las alertas generadas por el escaneo y el nivel de riesgo que representa

Alertas sobre el escaneo automatizado de Owasp Zap

Si se clickea la alerta, en la parte derecha podremos ver más información sobre la alerta, en la descripción podemos ver de qué se trata y si seguimos bajando podremos ver una posible solución planteada por la misma herramienta

Análisis a profundidad con Owasp Zap

De aquí podremos sacar información valiosa para poder complementar con más búsquedas a profundidad.

Conclusiones

En el documento se dieron las bases para descargar, instalar y utilizar OWASP ZAP para llevar a cabo pruebas de seguridad en aplicaciones web. OWASP ZAP ofrece una amplia gama de funcionalidades para identificar y mitigar vulnerabilidades.

Es importante profundizar las pruebas y no quedarnos únicamente con lo que nos indica la herramienta, también es importante resaltar una buena comunicación con líderes y dev al momento de utilizar la herramienta ya que esta puede ser detectada como un ataque por parte del servidor, se debe tener en cuenta que la herramienta no dañará de ninguna manera el sitio que se esté probando.

Suscríbete al
Blog Pragma

Recibirás cada mes nuestra selección de contenido en Transformación digital.

Imagen form