En el mundo de las pruebas de software, es esencial contar con herramientas efectivas para detectar y mitigar vulnerabilidades en las aplicaciones. OWASP ZAP (Zed Attack Proxy) se ha convertido en una herramienta de referencia para realizar pruebas de seguridad en aplicaciones web.
En el artículo explicaremos paso a paso cómo descargar, instalar y utilizar OWASP ZAP, además de explicar las principales funcionalidades de la herramienta.
1. Descarga e instalación de OWASP ZAP: a. Visita el sitio web oficial de OWASP ZAP (https://www.zaproxy.org/) y dirígete a la sección de descargas.
2. Una vez instalada la aplicación se nos abrirá una interfaz como esta:
Vamos a resaltar las partes más importantes que nos podremos encontrar y las partes más esenciales al momento de realizar nuestra prueba de seguridad para detección de vulnerabilidades.
Cabe resaltar que OWASP ZAP realiza un análisis superficial de la aplicación pero sin embargo esto nos puede dar una idea o incluso mostrarnos posibles fallas graves que tengamos a nivel de seguridad en nuestra aplicación o sitio Web
Lo primero que podemos destacar de la interfaz es la parte superior o menú de opciones donde nos encontraremos muchas de las funcionalidades de la herramienta
Dentro de la opción de archivo nos encontraremos las opciones que se pueden apreciar en la siguiente imagen
donde podremos crear nuestras sesiones de pruebas, abrir alguna sesión guardada previamente o eliminar sesiones creadas
En la opción Ver podremos encontrarnos todas las opciones referente a las pestañas que podremos abrir mientras estamos ejecutando nuestra prueba
El opción de informe tendremos uno de los puntos más importantes y relevantes de la herramienta como lo son los informes, ya que podremos generar un informe más detallado de las posibles vulnerabilidades o alertas que nos arrojó la herramienta
En la parte izquierda de nuestra interfaz encontraremos los contextos donde podremos incluir URL específicas, parámetros de solicitud, encabezados HTTP, métodos de solicitud, cookies y más.
Por ejemplo, si tienes una aplicación web con una sección de inicio de sesión y una sección de administración, puedes crear dos contextos separados en ZAP: uno para la sección de inicio de sesión y otro para la sección de administración.
En la parte derecha tendremos las opciones de escaneo automatizado la cual nos permitirá realizar un escaneo pasando simplemente la url del sitio y permitiendo a la herramienta realizar las pruebas que considere oportunas
Luego tendremos el escaneo manual, el cual nos permitirá abrir una instancia del navegador (Permite escoger el navegador en el que deseemos abrir la página) con una Url específica y así de manera manual ingresar a todas las partes del sitio que necesitemos escanear
Al lado del escaneo automático tenemos la opción de aprender más, la cual nos va a llevar a información importante y documentación de la herramienta
En la parte inferior contamos inicialmente con 4 salidas posibles de datos:
A continuación realizaremos un ejemplo práctico con el sitio Web https://opencart.abstracta.us/
para ello necesitamos configurar el proxy de nuestro navegador, en este caso se utilizara mozilla
- Abrimos el navegador y le damos opciones:
Una vez configurado el navegador miramos la configuración de proxy que tenemos en OWASP ZAP
Para ello ingresamos a herramientas y luego a opciones
Dentro en la opción de Network
Dar clic en local servers/proxies
una vez verificado se debe dar clic en escaneo automatizado e ingresamos la URL y damos clic en atacar
Una vez culminado el proceso en la parte inferior dentro del historial podemos observar la fecha de la petición y el tiempo
En la parte izquierda dentro de sitios podremos ver todas las urls escaneadas divididas por carpetas, debemos buscar la carpeta con la url a la cual estamos realizando el análisis.
En la parte inferior en las alertas podemos ver todas las alertas generadas por el escaneo y el nivel de riesgo que representa
Si se clickea la alerta, en la parte derecha podremos ver más información sobre la alerta, en la descripción podemos ver de qué se trata y si seguimos bajando podremos ver una posible solución planteada por la misma herramienta
De aquí podremos sacar información valiosa para poder complementar con más búsquedas a profundidad.
En el documento se dieron las bases para descargar, instalar y utilizar OWASP ZAP para llevar a cabo pruebas de seguridad en aplicaciones web. OWASP ZAP ofrece una amplia gama de funcionalidades para identificar y mitigar vulnerabilidades.
Es importante profundizar las pruebas y no quedarnos únicamente con lo que nos indica la herramienta, también es importante resaltar una buena comunicación con líderes y dev al momento de utilizar la herramienta ya que esta puede ser detectada como un ataque por parte del servidor, se debe tener en cuenta que la herramienta no dañará de ninguna manera el sitio que se esté probando.