1. SEGURIDAD Y APLICACIONES WEB Licencia Creative Commons Esta obra esta distribuida bajo una licencia de:

• Reconocimiento (Attribution): En cualquier explotacin de la obra autorizada por la licencia har falta reconocer la autora.

2. No Comercial (Non commercial): La explotacin de la obra queda limitada a usos no comerciales.

3. Compartir Igual (Share alike): La explotacin autorizada incluye la creacin de obras derivadas siempre que mantengan la misma licencia al ser divulgadas. 4. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP Prctica WebPentesting:ZAP 5. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP

En esta prctica veremos como se realiza parte de un web pentesting con una aplicacin diseada para automatizar cierta parte de la tarea.

Para ello usaremos la mquina virtual Web Security Dojo

6. Como aplicacin web vulnerable: Webgoat 7. Como aplicacin de pentesting: ZAP 8. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP

Una vez arrancada la mquina virtual procedemos a arrancar webGoat

9. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 10. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 11. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 12. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP

Ahora arrancaremos OWASP ZAP

13. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 14. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP

ZAP funciona como un proxy por lo que debemos configurar Firefox para que apunte a ZAP

15. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 16. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 17. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 18. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP Una vez configurado firefox para usar como proxy zap refrescaremos la pantalla para que dicha peticin pase ya por ZAP quedando registrada 19. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 20. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP Una vez que hemos comprobado que todo funciona habr que navegador por la aplicacin para que vayan quedando registradas diversas url's de la aplicacin que ZAP posteriormente usar tanto para atacar como para ser usadas como base del descubrimiento del site 21. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 22. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 23. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 24. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 25. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP Realizamos el descubrimiento de las urls de la aplicacin:

Pasamos a ZAP y vemos que las urls han sido grabadas

26. Activamos el Spider, esta funcionalidad se encarga de seguir todos los enlaces que encuentra en las pginas grabadas para ser utilizados posteriormente durante la fase de ataque 27. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 28. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 29. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP

Pasamos a lanzar el descubrimiento de vulnerabilidades en la aplicacin web

30. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 31. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 32. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 33. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP

Tras pinchar en Alerts veremos las vulnerabilidades que ha encontrado ZAP

34. Nos ordena las vulnerabilidades en funcin de las url's, al pinchar en ellas nos aade informacin sobre la vulnerabilidad encontrada y su posible solucin. 35. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 36. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP 37. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP Como hemos visto este tipo de herramientas nos pueden ayudar durante el proceso de webPenTesting automatizando ciertas tareas. Con el uso de esta herramienta hemos realizado:

Parte del descubrimiento de urls de la aplicacin.

38. Ha detectado posibles sql injections y xss 39. Ha detectado una mala configuracin en las cookies 40. SEGURIDAD Y APLICACIONES WEB .Ataques automatizados: ZAP No obstante este tipo de herramientas no sustituyen la prueba manual, son simplemente una ayuda ms durante el proceso de testing. Una vez lanzada esta aplicacin habr que pasar a revisar las vulnerabilidades reportadas para confirmar si su explotacin es posible. Esto lo haremos de forma manual documentando el proceso de explotacin realizado