Punto Net Tech

Punto Net Tech
Servicios Corporativos de Ciberseguridad - IT - DBA

sábado, 29 de junio de 2019

OWASP ZAP 2.8


Introducción
Luego de mucho tiempo (la última versión había sido lanzada en el 28/11/2017) , tenemos una versión nueva de OWASP’s Zed Attack Proxy (ZAP), ahora la versión 2.8. Recordamos que es una de las herramientas de seguridad gratuitas de las más populares del mundo y es mantenida activamente por cientos de voluntarios internacionales. Esta herramienta puede ayudarlo a encontrar automáticamente vulnerabilidades de seguridad en sus aplicaciones Web mientras desarrolla y prueba sus aplicaciones. También es una gran herramienta para pentesters experimentados para usar en pruebas de seguridad manuales.
Vamos a mencionar algunas de las novedades de esta nueva versión.

Pantallas de inicio rápido
Al iniciar ZAP, ahora nos aparece a la derecha tres opciones que nos permite

1) Exploración automatizada: le permite iniciar una exploración automatizada contra una    aplicación y la elección de la araña (modo spider)  tradicional y / o ajax.
2) Exploración manual: le permite iniciar navegadores configurados para proxy a través de ZAP con la opción de habilitar el HUD (nueva función). 
3) Más información: proporciona enlaces a recursos locales y remotos que puede usar para obtener más información sobre ZAP



Reglas de escaneo - Release
Se han promovido las siguientes reglas de escaneo:
Reglas de escaneo activas:
- Promover la divulgación de código fuente WEB-INF (Número 4448).
Reglas de escaneo pasivo:
Promover el juego de caracteres Charset Mismatch Scanner (Versión 4460).
- Promover ViewState Scanner (Número 4453).
- Promover la versión del Escáner JSF ViewState inseguro (Versión 4455).
- Promover el Escáner de autenticación insegura (Número 4456).
- Promover la divulgación de información Debug Errors Scanner para su nuevo release (Número 4457).
- Promover el CSRF Countermeasures Scanner (Número 4458).
 Promueva la versión del Escáner de alcance holgado de la Cookie (Número 4459).

Heads Up Display
Una de las funciones más interesantes en ZAP, es el Heads Up Display (HUD) que trae toda la funcionalidad esencial de ZAP a su navegador. Es ideal para personas nuevas en seguridad web y también permite que los testeadores de penetración experimentados se centren en las características de una aplicación al tiempo que proporcionan información y funcionalidad de seguridad clave. El HUD se puede habilitar al enviar un proxy a través de ZAP a través de la nueva pantalla 'Exploración manual' y un botón de la barra de herramientas de nivel superior. Realmente una novedad más que interesante, es como si realmente estuvieras en la cabina de un avión.



Reestructuración del código fuente
Todos los repositorios ZAP se han migrado para usar Gradle desde Ant. El formato de código fuente estándar ahora también se aplica de manera consistente.

Cambios en el vector de escaneo
Los usuarios ahora tienen la opción de agregar o no un parámetro de consulta a las solicitudes GET que no las tenían para comenzar. En versiones anteriores, este comportamiento no era controlable por el usuario y estaba activado de forma predeterminada. Con la nueva opción de usuario, el valor predeterminado se ha cambiado a desactivado.

Descargarlo de aquí: https://github.com/zaproxy/zaproxy/wiki/Downloads

Hasta la próxima...