En esta segunda entrega sobre Owasp ZAP, vamos a tratar una de las funciones más importantes: EL PROXY.
En el artículo anterior sobre Owasp ZAP, estuvimos aprendiendo como instalarlo e hicimos un recorrido muy general sobre la interfaz.
1. Configurando el Proxy
Antes de arrancar ZAP tenemos que configurar nuestro navegador. En mi caso estoy utilizando Firefox.
Options → Network Settings
En este panel tenemos que seleccionar “Manual proxy configuration” y:
- En el campo HTTP Proxy introduciremos “localhost”
- En el puerto el “8080” activaremos la casilla “Use this proxy server for all protocols” como podemos ver en la imagen.
2. Instalación del certificado SSL
Owasp ZAP nos permite descifrar las conexiones SSL de forma transparente, pero para eso, ZAP debe cifrar cada solicitud antes de enviarla al servidor y descifrar cada respuesta generada. Es importante tener en cuenta que como ésto lo hace el navegador, sólo podremos interceptar y descifrar la transmisión con un ataque «man in the middle» (MITM).
Cada dato enviado al servidor se encripta y cada dato recibido del servidor se desencripta empleando el certificado original del servidor dentro de ZAP, de esta manera, ZAP lo entiende como un texto plano.
Para que la sesión iniciada desde tu navegador esté protegida por SSL, ZAP va a usar su propio certificado y éste es el que puedes crear tu. Cada certificado creado por ZAP será firmado por el mismo nombre del servidor, de esta forma tu navegador realizará la encriptación SSL normal
En el ejemplo superior, ZAP creará un certificado para el nombre de servidor «www.example.com». De esta manera, tu navegador realizará la encriptación SSL normal.
Es por esto que es necesario instalar el certificado en nuestro navegador. Para ello, lo primero que haremos será:
Dentro de Owasp Zap seleccionaremos Herramientas → Opciones → Certificados SSL y le daremos a guardar.
Ahora abrimos firefox opciones → “Privacy & Security” → “View Certificates” → “Import” (seleccionaremos el archivo que acabamos de guardar”:
Y ya nos aparecerá el certificado de OWASP:
Cada certificado creado por ZAP se encuentra en la cadena de confianza del certificado «ZAP Root CA» lo que significa que solo debes confiar en este certificado una vez y así cualquier otro certificado se aceptará automáticamente. Esto supone que una vez que agregues el certificado ZAO Root CA a tu lista de Root CAs de confianza, tu navegador no va a reconocer un ataque MITM que ocurre cuando una entidad externa intercepta una comunicación entre dos sistemas.
Tenemos que editar los ajustes del certificado.
Porque de lo contrario nos saltará el siguiente error.
Una vez que ya tenemos configurado el proxy en nuestro navegador y hemos instalado el certificado, ya estamos preparados para comenzar a buscar vulnerabilidades.
En la parte inferior izquierda, tenemos una opción llamada alertas
Aquí nos van a aparecer en tiempo real las vulnerabilidades que owasp vaya encontrando.
En la siguiente imagen podéis ver algunas de las vulnerabilidades que ZAP ha encontrado, mientras yo hacía una navegación normal. En algunas ocasiones estas vulnerabilidades se pueden explotar y comprometer la web
Voy a acceder a gruyere que es una web que permite hacer pruebas de penetración reales, explotando una aplicación real.
Tenemos dos pestañas la de “Petición” y la de “Respuesta”
En estas pestañas podemos ver que tipo de petición hemos hecho a la web y que respuesta nos ha dado.
Utilizando puntos de interrupción (Breakpoint)
La web gruyere nos proporciona un panel de login para que hagamos pruebas.
Haremos una petición escribiendo un usuario y una clave. Sobre la petición, daremos al botón derecho → Parada. Así colocaremos un punto de interrupción o breakpoint.
Lo que hemos hecho al poner el breakpoint es que, cuando se llegue a la petición marcada, la ejecución se detendrá y no continuará hasta que la validemos.
En la pestaña peticiones, podemos ver que credenciales ha introducido el usuario
Hasta que no le demos al botón de continuar, la petición no se ejecutará. Por lo que la podemos modificar antes de enviarla.
Espero que os haya gustado esta segunda entrada sobre Owasp ZAP, como veis es un programa que tiene muchísimas funciones que las iremos viendo en próximos artículos
Un saludo
DiegoAltF4
Inicio
Deja una respuesta