practica owasp zed attack proxy
TRANSCRIPT
-
7/25/2019 Practica Owasp Zed Attack Proxy
1/12
PRACTICA OWASP ZED ATTACK PROXY
usaremos la distribucin Web Security Dojo de Maven Security. Aparte del propio
-
7/25/2019 Practica Owasp Zed Attack Proxy
2/12
-
7/25/2019 Practica Owasp Zed Attack Proxy
3/12
-
7/25/2019 Practica Owasp Zed Attack Proxy
4/12
nuestro navegador navegue, por lo que slo tenemos que seleccionar la opcin
Zed Attack Proxy, y el navegador se confgurar automticamente para
utilizar ZAP como proxy
-
7/25/2019 Practica Owasp Zed Attack Proxy
5/12
!na vez que tenemos a"ierto ZAP y confgurado el navegador, lo siguiente ser
crear una nueva sesin en ZAP Para ello, #acemos clic en el men$ %ile&
'(e) *ession
Para acceder a la aplicacin, introducimos como usuario admin y como contrasea,passord, y entraremos en la p!"ina principal de la aplicacin.+-A
-
7/25/2019 Practica Owasp Zed Attack Proxy
6/12
-
7/25/2019 Practica Owasp Zed Attack Proxy
7/12
Para poder realizar la demostracin, vamos a poner el nivel de seguridad en
.o), para que no exista ning$n tipo de compro"acin de seguridad y
podamos pro"ar ataques a nuestras anc#a
-
7/25/2019 Practica Owasp Zed Attack Proxy
8/12
amos a escri"ir nuestro nom"re, a ver que pasa/
-
7/25/2019 Practica Owasp Zed Attack Proxy
9/12
Para ello, vamos a ZAP, y "uscamos la pgina en el recuadro *itessituado a la
izquierda/
Para "uscar las vulnera"ilidades, #acemos clic derec#o en el sitio que
queremos "uscarlas, y seleccionamos Attack&'Active *can (ode
-
7/25/2019 Practica Owasp Zed Attack Proxy
10/12
0n este caso, parece ser que cuando el parmetro name de la peticin
incluye cdigo 1ava*cript este se e2ecuta
-
7/25/2019 Practica Owasp Zed Attack Proxy
11/12
-
7/25/2019 Practica Owasp Zed Attack Proxy
12/12
#ste par!metro es el nombre $ue introducimos en el %ormulario, as& $ue vamos a#acer una prue"a por nosotros mismos, para pro"ar si lo que nos dice ZAP es
cierto