02.-OWASP ZAP proxy
3.2.- OWASP ZAP Proxy¶
OWASP ZAP (Zed Attack Proxy) es un proxy de interceptación desarrollado por el proyecto OWASP (OWASP ZAP). Es una herramienta de código abierto utilizada en auditorías de seguridad para inspeccionar y modificar el tráfico HTTP y HTTPS entre un navegador y una aplicación web.
Características principales¶
- Intercepción HTTP/HTTPS: Permite capturar, analizar y modificar peticiones y respuestas.
- Automatización de pruebas: Dispone de módulos para pruebas automatizadas de seguridad.
- Marketplace de plugins: Permite extender sus funcionalidades con complementos adicionales.
- Escaneo automático de vulnerabilidades: Detecta problemas de seguridad en aplicaciones web.
Funcionamiento de OWASP ZAP¶
ZAP se interpone entre el navegador web del auditor y la aplicación web que se está evaluando. Esto le permite:
- Interceptar y analizar las peticiones y respuestas.
- Modificar el contenido antes de reenviarlo al destino.
- Registrar la actividad para su posterior análisis.
Uso de OWASP ZAP¶
Al iniciar ZAP, la interfaz se divide en varias secciones:
- Barra de menú: Acceso a herramientas automáticas y manuales.
- Barra de herramientas: Botones de acceso rápido a funciones clave.
- Esquema de árbol: Muestra el árbol de sitios y scripts analizados.
- Ventana de trabajo: Visualiza solicitudes, respuestas y scripts modificables.
- Ventana de información: Detalles sobre herramientas y escaneos realizados.
- Pie de página: Estado de alertas y herramientas automatizadas.
Configuración como proxy¶
Para utilizar ZAP como proxy, es necesario configurar el navegador web para redirigir todo el tráfico a través de ZAP:
- Definir la dirección IP y puerto en los que el proxy escuchará las conexiones.
- Configurar el navegador para que utilice ZAP como proxy de conexión.
Interceptación de peticiones HTTPS¶
Para interceptar tráfico HTTPS, ZAP utiliza un certificado SSL autofirmado. Como los navegadores no reconocen esta certificación, se mostrará una advertencia de seguridad cada vez que se acceda a un sitio web a través de ZAP.
Solución:
- Instalar el certificado CA de ZAP en el navegador como una entidad de confianza.
- Una vez aceptado, todas las peticiones HTTPS podrán ser interceptadas y analizadas.
Manipulación de tráfico HTTP¶
- Todas las peticiones y respuestas HTTP/HTTPS quedan registradas en el historial.
- Para modificar solicitudes o respuestas en tiempo real, es necesario activar la interceptación.
- Una vez activada, ZAP permite modificar los datos antes de enviarlos al servidor o al navegador.
Autoevaluación¶
Pregunta: ¿Cuál es el motivo principal por el que se utilizan los proxies de interceptación web?
- ✅ Permite manipular la petición HTTP antes de su salida del servidor.
- ❌ Permite manipular la petición HTTP después de salir del navegador.
- ❌ Permite manipular la respuesta HTTP después de salir del servidor.
Explicación: El uso de proxies de interceptación permite capturar y modificar las peticiones antes de que lleguen al servidor, lo que facilita la detección de vulnerabilidades en aplicaciones web.
Conclusión¶
OWASP ZAP es una herramienta fundamental en auditorías web, ya que permite interceptar, analizar y modificar el tráfico HTTP/HTTPS en tiempo real. Su capacidad para detectar y explotar vulnerabilidades lo convierte en una de las soluciones más utilizadas en pentesting y análisis de seguridad web.