Configurando OWASP ZAP para la intercepción por proxy

La intercepción por proxy es un mecanismo implementado por algunas herramientas para realizar pruebas de seguridad con el objetivo de analizar el flujo de peticiones y respuestas HTTP que se establece entre el dispositivo del cliente y la aplicación web. Una función importante es la posibilidad de visualizar el encabezado y el cuerpo de todo el flujo HTTP, lo que permite comprobar si están presente determinados mecanismos y configuraciones que fortalecen los indicadores de seguridad de la aplicación web.

Existen muchos sistemas informáticos que permiten revisar estos datos, desde comandos como cURL hasta completas herramientas comerciales como Acunetix, hay para todos los gustos y exigencias. En mi caso, uso cURL si voy a analizar una petición o respuesta simple y OWASP ZAP para estudiar procesos más complejos que involucren la interacción del usuario con varias vistas y módulos en la aplicación web.

En este post, les voy a mostrar una manera simple de configurar OWASP ZAP y el navegador Firefox  para hacer la intercepción por proxy, comencemos:

  • 1.Accedemos al submenú Herramientas del menú principal de OWASP ZAP.
  • 2.Dentro de menú Herramientas, accedemos al submenú Opciones .
P19.1

Pasos 1 y 2 de la configuración de OWASP ZAP. Elaboración propia.

  • 3. En el submenú Opciones, acceder a la opción Proxy local.
  • 4. En la configuración del proxy local, introducimos los datos del Address y Puerto, recomiendo localhost y 8090 (o cualquier otro puerto que no este siendo utilizado) respectivamente.
P19.2

Pasos 3 y 4 de la configuración de OWASP ZAP. Elaboración propia.

5,6,7: Configurar Firefox para que navegue a través de OWASP ZAP, los datos de Proxy HTTP y Puerto tienen que coincidir con los del punto 4 (ej. localhost, 8090).

P19.3

Pasos 5, 6 y 7. Configuración de Firefox. Elaboración propia.

Concluida la configuración del navegador web, ya estamos en condiciones de comenzar a monitorear todo el flujo de peticiones y respuestas HTTP. Ya estamos en condiciones de realizar pruebas de seguridad como la OTG-AUTHN-005 y la OTG-CONFIG-007, las cuales dependen de la intercepción por proxy para su realización.

Espero que te haya gustado el post. Ante cualquier duda o sugerencia, deja tu comentario que será atendido con prontitud.

Anuncios

13 comentarios en “Configurando OWASP ZAP para la intercepción por proxy

  1. Pingback: Testing for Session Fixation (OTG-SESS-003) | Behique Digital

  2. Pingback: Testing for Browser Cache Weakness (OTG-AUTHN-006) | Behique Digital

  3. Pingback: Funcionamiento de los ETags y por qué su mal uso puede afecta la privacidad de los usuarios. | Behique Digital

  4. Pingback: Analysis of Error Codes (OTG-ERR-001) | Behique Digital

  5. Pingback: Base64 y su vulnerable aplicación en el ofuscamiento de credenciales en la Autenticación Básica de HTTP/1.1 (+Ejemplo) | Behique Digital

  6. Pingback: ¿Tu aplicación web es vulnerable a un Ataque de Escalada de Privilegios? Analízalo con la OTG-AUTHZ-003 para que salgas de dudas (+Ejemplo) | Behique Digital

  7. Pingback: La OTG-AUTHN-001 de OWASP propone comprobar si las credenciales viajan sobre un canal encriptado | Behique Digital

  8. Pingback: ¿El suficiente que el método POST sea más seguro que el método GET? Un simple experimento demuestra que no | Behique Digital

  9. Pingback: Aplicando la OTG-AUTHZ-002 para evaluar las restricciones del esquema de autorización | Behique Digital

  10. Pingback: Configurando Burp Suite en modo proxy man-in-the-middle con Firefox, Foxy Proxy y Kali Linux | Behique Digital

  11. Pingback: Problemas del “pentesting real” según Marek Zmysłowski (III)- Mi Nessus es mejor que el tuyo | Behique Digital

  12. Pingback: Técnica Fuzzing con OWASP ZAP: Profundizando en el análisis de Directory Traversal y detectando en lote archivos por defecto | Behique Digital

  13. Pingback: ¿Eres vulnerable a un ataque de Directory Traversal? Aplicación de la OTG-AUTHZ-001 con OWASP ZAP | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s