zed attack proxy
TRANSCRIPT
OWASP Zed Attack Proxy (ZAP)Introducción @SuperSerch
JaverosMx
¿Por qué ZAP?• Dado que es imposible construir aplicaciones web que sean
seguras si no se sabe como atacarlas
• Y como para muchos desarrolladores las pruebas de penetración son Magia Negra
• Entonces enseñemos a los desarrolladores las técnicas básicas de penetración (Además de técnicas de desarrollo seguro, el OWASP Top Ten, Ciclos de desarrollo de software seguro, análisis estático de código, revisiones de código, etc., etc.)
¿Qué es ZAP?
• Herramienta de pruebas de penetración
• Multiplataforma, facil de usar e instalar
• Basado en Paros Proxy
• Amplia documentación (https://github.com/zaproxy/zap-core-help/wiki)
Características
• Intercepting Proxy
• Active and Passive Scanners
• Spider
• Brute force
• Fuzzing
Lista de materiales
• Descargar de: https://github.com/zaproxy/zaproxy/wiki/Downloads
• Aplicación de prueba: The Bodgeit Store https://code.google.com/p/bodgeit/downloads/list
• Apache Tomcat http://apache.webxcreen.org/tomcat/tomcat-8/v8.0.23/bin/apache-tomcat-8.0.23.tar.gz
Demo
• Interceptar llamadas
• Modificar valores en parámetros de una petición
• Modificar valores en Cookies de una petición
• Active Scanner
• Fuzzer
Gracias.
(Preguntas???)