• Saltar al contenido principal
  • Saltar a la barra lateral principal

DiegoAltF4

junio 26, 2019 Por diegoaltf4

Introducción a OWASP ZAP

Introducción

En el artículo de hoy, vamos a hablar sobre una de las herramientas más conocidas para análisis web: Owasp Zap.
Owasp Zap es una herramienta increíble, muy versátil y es usada prácticamente en cualquier auditoría. Es un proyecto de código abierto cuyo líder es Simon Bennetts, realizado en Java, lo que supone que se pueda ejecutar en cualquier plataforma; en mi caso, las pruebas serán llevadas a cabo en Kali Linux.

Descargar OWASP Zed Attack Proxy

Podemos descargar la herramienta desde Github. Hay versiones para Windows, Linux y Mac.

Hay una versión cross-platform para Linux, que es la que recomiendo:

De todos modos hay distribuciones como Kali Linux la cual ya trae instalado Owasp.

Una vez descargado Owasp, accederemos al directorio /usr/share/zaproxy y luego listaremos:

Aquí podemos encontrar las librerías que utiliza, los filtros, los lenguajes…

Los archivos que nos interesan son “zap.sh” para poder ejecutar owasp desde plataformas linux y  zap-2.7.0.jar para poder ejecutarlo desde cualquier sistema operativo

Para arrancar desde el .jar:

java -jar zap-2.7.0.jar

 

Para arrancar desde el script:

Conociendo la interfaz

Una vez que hemos arrancado Owasp, nos encontraremos con una interfaz muy intuitiva y sencilla de usar:

En el campo “URL to attack” introduciremos la url de la web que queramos escanear.

Al igual que en el tutorial de nmap, vamos a hacer las pruebas a la web de nmap.

Es fundamental especificar el protocolo, es decir si la página que queremos auditar se conecta por http o por https. Si únicamente ingresamos el nombre de la web, nos dará este error:

Con esto terminamos la introducción a Owasp Zap, en próximos artículos trataremos aspectos más avanzados. 

Un saludo

DiegoAltF4

Inicio

 

 

 

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Barra lateral principal

Buscar

advertencia

Toda la información proporcionada es de uso y fines educativos, DiegoAltF4 no se responsabiliza de los daños causados por la gente que haga un mal uso de la información proporcionada. Hacer un mal uso de esta información es un delito tipificado en el articulo 197.3 del código penal.

Entradas recientes

  • Heap Exploitation 0x02 | House of Force
  • Heap Exploitation 0x01 | Chunks
  • Writeup Una Al Mes – Junio 2022
  • Writeup Challenge 7 | pwn101 TryHackMe
  • Writeup VulnLawyers ctfchallenge

¿Quieres colaborar conmigo ?

Contáctame

si quieres aprender más

Base64
Underc0de
LinuxSeguridad
Security News
© 2023

DiegoAltF4