If you can't read please download the document
Upload
tantascosasquenose
View
467
Download
0
Embed Size (px)
DESCRIPTION
Curso b
Citation preview
3. Compartir Igual (Share alike): La explotacin autorizada incluye la creacin de obras derivadas siempre que mantengan la misma licencia al ser divulgadas. 4. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP Prctica WebPentesting:ZAP 5. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP
6. Como aplicacin web vulnerable: Webgoat 7. Como aplicacin de pentesting: ZAP 8. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP
9. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 10. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 11. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 12. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP
13. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 14. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP
15. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 16. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 17. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 18. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP Una vez configurado firefox para usar como proxy zap refrescaremos la pantalla para que dicha peticin pase ya por ZAP quedando registrada 19. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 20. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP Una vez que hemos comprobado que todo funciona habr que navegador por la aplicacin para que vayan quedando registradas diversas url's de la aplicacin que ZAP posteriormente usar tanto para atacar como para ser usadas como base del descubrimiento del site 21. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 22. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 23. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 24. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 25. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP Realizamos el descubrimiento de las urls de la aplicacin:
26. Activamos el Spider, esta funcionalidad se encarga de seguir todos los enlaces que encuentra en las pginas grabadas para ser utilizados posteriormente durante la fase de ataque 27. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 28. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 29. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP
30. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 31. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 32. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 33. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP
34. Nos ordena las vulnerabilidades en funcin de las url's, al pinchar en ellas nos aade informacin sobre la vulnerabilidad encontrada y su posible solucin. 35. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 36. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 37. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP Como hemos visto este tipo de herramientas nos pueden ayudar durante el proceso de webPenTesting automatizando ciertas tareas. Con el uso de esta herramienta hemos realizado:
38. Ha detectado posibles sql injections y xss 39. Ha detectado una mala configuracin en las cookies 40. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP No obstante este tipo de herramientas no sustituyen la prueba manual, son simplemente una ayuda ms durante el proceso de testing. Una vez lanzada esta aplicacin habr que pasar a revisar las vulnerabilidades reportadas para confirmar si su explotacin es posible. Esto lo haremos de forma manual documentando el proceso de explotacin realizado