Documente Academic
Documente Profesional
Documente Cultură
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:
Actividades
Pautas de elaboración
Descarga:
ORACLE virtualbox desde https://www.virtualbox.org/ e instala ZAP desde:
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Crea una red virtualbox HOST ONLY en VIRTUALBOX --> Archivo- preferencias- red-
redes solo anfitrión- añadir una red- habilitar DCHP y configurar de la siguiente forma:
Una vez iniciada nuestra máquina virtual ejecutamos el comando ifconfig –a para
comprobar la información de nuestra tarjeta de red específicamente la IP.
Iniciamos ZAP, una vez levante el GUI, nos encontraremos con una aplicación muy
intuitiva y sencilla de usar:
Ingresamos la url y Attack de ésta manera no sólo corremos un scanning activo, sino
también que corre el spider, fuzzea y lanza brute force.
Cuando se hace este recorrido por todas las URLs a través del Spider, se va analizando
cada una de las URL encontradas en busca de información sensible, y en caso de
encontrar alguna URL que esté catalogada como sospechosa, se mostrará un alerta
indicando su grado de riesgo, es decir, si la vulnerabilidad es grabe, media, o casi sin
importancia.
Es aquí donde ZAP hace mayor ruido en su ataque, ya que al tratarse de un Escáner
Activo, lo que hará será probar todo tipo de ataques en las direcciones econtradas. Esto
implica desde una búsqueda de configuración en un simple parámetro de alguno de los
archivos que compone la web, hasta ataques de SQL injection, XDD, LFI, RFL, etc.
Si damos clic sobre el boton detalles del progreso se mostrara la siguiente ventana en la
cual podemos observar el progreso del escaneo activo.
Auditoria de vulnerabilidades
dd