OWASP ZAP (abreviatura de Zed Attack Proxy) es un escáner de seguridad de aplicaciones web de código abierto. Está destinado a ser utilizado tanto por los nuevos en la seguridad de aplicaciones como por los probadores profesionales de penetración.

Es uno de los proyectos OWASP más activos y se le ha otorgado el estatus de buque insignia. También está totalmente internacionalizado y está siendo traducido a más de 25 idiomas.

Cuando se utiliza como un servidor proxy que permite al usuario manipular todo el tráfico que pasa a través de él, incluyendo el tráfico utilizando https.

También se puede ejecutar en un modo ‘daemon’ que se controla a través de una interfaz de programación de aplicaciones REST.

Esta herramienta multiplataforma está escrita en Java y está disponible en todos los sistemas operativos más populares como Microsoft Windows, Linux y Mac OS X.

Caracteristicas

Algunas de las funciones incorporadas incluyen: Interceptar servidor proxy, rastreadores Web Tradicional y AJAX, Escáner automatizado, Escáner pasivo, Navegación forzada, Fuzzer, Soporte de WebSocket, Lenguajes de secuencias de comandos y Soporte de Plug-n-Hack. Tiene una arquitectura basada en complementos y un “mercado” en línea que permite añadir características nuevas o actualizadas. El panel de control GUI es fácil de usar.

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

https://github.com/zaproxy/zaproxy/wiki/Downloads

ZAP 2.6.0 Standard

Windows (64) Installer 2017-03-29 117 MB Download now
Windows (32) Installer 2017-03-29 117 MB Download now
Linux Installer 2017-03-29 168 MB Download now
Linux Package 2017-03-29 166 MB Download now
Mac OS/X Installer 2017-03-29 182 MB Download now
Cross Platform Package 2017-03-29 265 MB Download now

Docker

Existen 3 imagenes de Docker disponibles:

Vea Docker para mayor detalle.

Instalar y configurar ZAP

  1. Instale ZAP
  2. Persistencia de una Sesión ZAP: Cuando inicie ZAP por primera vez, se le preguntará si desea persistir la sesión ZAP.            
  3. Configurar el navegador a proxy a través de ZAP: Antes de comenzar a ejecutar pruebas de penetración con ZAP, debe configurar su navegador para usar ZAP como su proxy. De forma predeterminada, ZAP utiliza: Dirección: localhost, Puerto: 8080
  4. Importar y confiar en el certificado de ZAP Root CA
  5. Exportar el certificado de ZAP Root CA
  6. Instale el certificado de la ZAP Root CA como un certificado raíz de confianza para Windows / Internet Explorer
  7. Compruebe que el certificado de la ZAP Root CA esté instalado
  8. Inicio Pentesting con ZAP
  9. Ejecute una prueba Quick Start
  10. Interpretar los resultados de la prueba
  11. Ver las Páginas Exploradas
  12. Ver Alertas y Detalles de Alerta: El lado izquierdo del pie de página contiene un recuento de las alertas encontradas durante la prueba, en categorías de riesgo. Estas categorías de riesgo son:
  13. Expanda su Pentesting con ZAP
  14. Configurar y ejecutar Spider con ZAP
  15. Explore su sitio
  16. Ejecutar un Active Scan con ZAP

Enlaces útiles

Useful Links OWASP Zed Attack Proxy Project – ZAP’s main project page

OWASP ZAP Wiki – The ZAP Wiki

OWASP ZAP User Guide – The ZAP User Guide

OWASP ZAP Hot Keys – The list of ZAP hotkeys

ZAP Proxy Users Group – Google group for ZAP users

ZAP Proxy Developers Group – Google group for developers and contributors to ZAP

Share: