Introducción
Luego de mucho tiempo (la última versión había
sido lanzada en el 28/11/2017) , tenemos una versión nueva de OWASP’s Zed
Attack Proxy (ZAP), ahora la versión 2.8. Recordamos que es una de las
herramientas de seguridad gratuitas de las más populares del mundo y es
mantenida activamente por cientos de voluntarios internacionales. Esta
herramienta puede ayudarlo a encontrar automáticamente vulnerabilidades de
seguridad en sus aplicaciones Web mientras desarrolla y prueba sus
aplicaciones. También es una gran herramienta para pentesters experimentados
para usar en pruebas de seguridad manuales.
Vamos a mencionar algunas de las novedades de
esta nueva versión.
Pantallas
de inicio rápido
Al iniciar ZAP, ahora nos aparece a la derecha
tres opciones que nos permite
1) Exploración automatizada: le permite iniciar una exploración
automatizada contra una aplicación y la elección de la araña (modo spider) tradicional y / o ajax.
2) Exploración manual: le permite iniciar navegadores configurados
para proxy a través de ZAP con la opción de habilitar el HUD (nueva función).
3) Más información: proporciona enlaces a recursos locales y
remotos que puede usar para obtener más información sobre ZAP
Reglas de
escaneo - Release
Se han promovido las siguientes reglas de
escaneo:
Reglas de
escaneo activas:
- Promover la divulgación
de código fuente WEB-INF (Número 4448).
Reglas de escaneo pasivo:
- Promover el juego de caracteres Charset Mismatch Scanner
(Versión 4460).
- Promover ViewState Scanner (Número 4453).
- Promover la versión del Escáner JSF ViewState inseguro (Versión
4455).
- Promover el Escáner de autenticación insegura (Número 4456).
- Promover la divulgación de información Debug Errors Scanner
para su nuevo release (Número 4457).
- Promover el CSRF Countermeasures Scanner (Número 4458).
- Promueva la versión del Escáner de alcance holgado de la
Cookie (Número 4459).
Heads Up
Display
Una de las funciones más interesantes en ZAP, es
el Heads Up Display (HUD) que trae toda la funcionalidad esencial de ZAP a su
navegador. Es ideal para personas nuevas en seguridad web y también permite que
los testeadores de penetración experimentados se centren en las características
de una aplicación al tiempo que proporcionan información y funcionalidad de
seguridad clave. El HUD se puede habilitar al enviar un proxy a través de ZAP a
través de la nueva pantalla 'Exploración manual' y un botón de la barra de
herramientas de nivel superior. Realmente una novedad más que interesante, es
como si realmente estuvieras en la cabina de un avión.
Reestructuración
del código fuente
Todos los repositorios ZAP se han migrado para
usar Gradle desde Ant. El formato de código fuente estándar ahora también se
aplica de manera consistente.
Cambios en
el vector de escaneo
Los usuarios ahora tienen la opción de agregar o
no un parámetro de consulta a las solicitudes GET que no las tenían para
comenzar. En versiones anteriores, este comportamiento no era controlable por
el usuario y estaba activado de forma predeterminada. Con la nueva opción de
usuario, el valor predeterminado se ha cambiado a desactivado.
Descargarlo de aquí: https://github.com/zaproxy/zaproxy/wiki/Downloads
Descargarlo de aquí: https://github.com/zaproxy/zaproxy/wiki/Downloads
Hasta la próxima...