OWASP ZAP 2.

11
Guía de inicio

Visión general
Este documento pretende servir como una introducción básica para usar la herramienta Zed Attack Proxy (ZAP) de OWASP para
realizar pruebas de seguridad, incluso si no tiene experiencia en pruebas de seguridad. Con ese fin, se incluyen algunos conceptos
y terminología de pruebas de seguridad, pero este documento no pretende ser una guía completa ni para ZAP ni para pruebas de
seguridad.

Si ya está familiarizado con la seguridad o las pruebas de penetración, es posible que desee comenzar con
Presentamos ZAP.

Consulte Enlaces útiles para obtener información y recursos adicionales sobre ZAP.

Conceptos básicos de las pruebas de seguridad

Las pruebas de seguridad del software son el proceso de evaluar y probar un sistema para descubrir los riesgos de
seguridad y las vulnerabilidades del sistema y sus datos. No existe una terminología universal, pero para nuestros
propósitos, definimos las evaluaciones como el análisis y descubrimiento de vulnerabilidades sin intentar realmente
explotar esas vulnerabilidades. Definimos testing como el descubrimiento y el intento de explotación de
vulnerabilidades.
Las pruebas de seguridad a menudo se desglosan, de forma un tanto arbitraria, según el tipo de
vulnerabilidad que se está probando o el tipo de prueba que se está realizando. Una ruptura común es:

- Evaluación de vulnerabilidades: el sistema se escanea y analiza en busca de problemas de seguridad.

- Pruebas de penetración: el sistema se somete a análisis y ataques de atacantes maliciosos simulados.
- Pruebas de tiempo de ejecución: el sistema se somete a análisis y pruebas de seguridad por parte de un usuario
final.
- Revisión de código: el código del sistema se somete a una revisión y un análisis detallado en busca de
vulnerabilidades de seguridad específicas.

Tenga en cuenta que la evaluación de riesgos, que normalmente se incluye como parte de las pruebas de seguridad,
no se incluye en esta lista. Esto se debe a que una evaluación de riesgos no es en realidad una prueba, sino más bien el
análisis de la gravedad percibida de diferentes riesgos (seguridad del software, seguridad del personal, seguridad del
hardware, etc.) y cualquier medida de mitigación para esos riesgos.

Más acerca de las pruebas de penetración

Las pruebas de penetración (pentesting) se llevan a cabo como si el evaluador fuera un atacante externo malicioso
con el objetivo de ingresar al sistema y robar datos o llevar a cabo algún tipo de ataque de denegación de servicio.
El Pentesting tiene la ventaja de ser más preciso porque tiene menos falsos positivos (resultados que informan una
vulnerabilidad que en realidad no está presente), pero puede llevar mucho tiempo ejecutarlo.
El Pentesting también se utiliza para probar mecanismos de defensa, verificar planes de respuesta y confirmar el
cumplimiento de la política de seguridad.
El Pentesting automatizado es una parte importante de la validación de integración continua. Ayuda a descubrir
nuevas vulnerabilidades, así como regresiones de vulnerabilidades anteriores en un entorno que cambia rápidamente
y para el cual el desarrollo puede ser altamente colaborativo y distribuido.
El proceso de Pentesting
Tanto el pentesting manual como el automatizado se utilizan, a menudo en conjunto, para probar todo, desde
servidores, redes, dispositivos y puntos finales. Este documento se enfoca en el pentesting de aplicaciones web o
sitios web.
El Pentesting por lo general sigue estas etapas:

• • Explorar: el probador intenta obtener información sobre el sistema que se está probando. Esto incluye
tratar de determinar qué software está en uso, qué puntos finales existen, qué parches están instalados, etc.
También incluye buscar en el sitio contenido oculto, vulnerabilidades conocidas y otras indicaciones de
debilidad.
• Ataque: el probador intenta explotar las vulnerabilidades conocidas o sospechadas para demostrar que
existen.
• Informe: el evaluador informa los resultados de sus pruebas, incluidas las vulnerabilidades, cómo las
explotaron y qué tan difíciles fueron las vulnerabilidades, y la gravedad de la explotación.

Objetivos de Pentesting

El objetivo final de pentesting es buscar vulnerabilidades para que estas vulnerabilidades puedan abordarse.
También puede verificar que un sistema no sea vulnerable a una clase conocida o un defecto específico; o, en el caso
de vulnerabilidades que hayan sido reportadas como corregidas, verificar que el sistema ya no sea vulnerable a ese
defecto.

Presentamos ZAP
Zed Attack Proxy (ZAP) es una herramienta gratuita de prueba de penetración de código abierto que se mantiene
bajo la cobertura del Proyecto de seguridad de aplicaciones web abiertas (OWASP). ZAP está diseñado
específicamente para probar aplicaciones web y es flexible y extensible.
En esencia, ZAP es lo que se conoce como un "proxy de intermediario". Se interpone entre el navegador del
probador y la aplicación web para que pueda interceptar e inspeccionar los mensajes enviados entre el navegador y
la aplicación web, modificar el contenido si es necesario y luego reenviar esos paquetes al destino. Se puede utilizar
como una aplicación independiente y como un proceso daemon.

Si ya hay otro proxy de red en uso, como en muchos entornos corporativos, ZAP se puede configurar para
conectarse a ese proxy.

ZAP proporciona funcionalidad para una variedad de niveles de habilidad, desde desarrolladores hasta
evaluadores nuevos en las pruebas de seguridad y especialistas en pruebas de seguridad. ZAP tiene versiones para
cada sistema operativo principal y Docker, por lo que no está atado a un solo sistema operativo.
La funcionalidad adicional está disponible gratuitamente desde una variedad de complementos en ZAP Marketplace,
accesible desde dentro del cliente ZAP.
Debido a que ZAP es de código abierto, se puede examinar el código fuente para ver exactamente cómo se
implementa la funcionalidad. Cualquiera puede ofrecerse como voluntario para trabajar en ZAP, corregir errores,
agregar funciones, crear solicitudes de extracción para incorporar correcciones al proyecto y crear complementos
para apoyar situaciones especializadas.

Para obtener más información, consulte zaproxy.org.

Al igual que con la mayoría de los proyectos de código abierto, las donaciones son bienvenidas para ayudar con los
costos de los proyectos. Puede encontrar un botón de donación en la página de owasp.org para ZAP en
https://owasp.org/www-project-zap/.

Instalar y configurar ZAP

ZAP tiene instaladores para Windows, Linux y Mac OS/X. También hay imágenes de Docker disponibles en el sitio
de descarga que se indica a continuación.

Instalar ZAP
Lo primero que debe hacer es instalar ZAP en el sistema en el que desea realizar la prueba de penetración.
Descargue el instalador adecuado desde la ubicación de descarga de ZAP en
https://www.zaproxy.org/download/ y ejecuta el instalador.
Tenga en cuenta que ZAP requiere Java 8+ para poder ejecutarse. El instalador de Mac OS/X incluye una versión
adecuada de Java, pero debe instalar Java 8+ por separado para las versiones de Windows, Linux y multiplataforma.
Las versiones de Docker no requieren que instales Java.
Una vez completada la instalación, inicie ZAP y lea los términos de la licencia. Haga clic en Acepto si acepta los
términos, y ZAP terminará de instalarse, luego ZAP se iniciará automáticamente.
Guardar una sesión.
Cuando inicie ZAP por primera vez, se le preguntará si desea conservar la sesión de ZAP. De forma predeterminada,
las sesiones ZAP siempre se graban en el disco en una base de datos HSQLDB con un nombre y una ubicación
predeterminados. Si no persiste en la sesión, esos archivos se eliminan cuando sale de ZAP.
Si elige conservar una sesión, la información de la sesión se guardará en la base de datos local para que pueda acceder
a ella más tarde, y podrá proporcionar nombres y ubicaciones personalizados para guardar los archivos.

Por ahora, seleccione No, no deseo conservar esta sesión en este momento y luego haga clic en Iniciar. Las
sesiones ZAP no se mantendrán por ahora.
Interfaz de usuario de escritorio ZAP
La interfaz de usuario de ZAP Desktop se compone de los siguientes elementos:

1. Barra de menú: brinda acceso a muchas de las herramientas automáticas y manuales.

2. Barra de herramientas: incluye botones que brindan fácil acceso a las funciones más utilizadas.
3. Ventana de árbol: muestra el árbol de sitios y el árbol de scripts.
4. Ventana del área de trabajo: muestra solicitudes, respuestas y guiones y le permite editarlos.
5. Ventana de información: muestra detalles de las herramientas automáticas y manuales.
6. Pie de página: muestra un resumen de las alertas encontradas y el estado de las principales herramientas
automatizadas.

Mientras usa ZAP, puede hacer clic en Ayuda en la barra de menú o presionar F1 para acceder a la ayuda contextual
de la Guía del usuario de ZAP Desktop. También está disponible en línea.
Para obtener más información sobre la interfaz de usuario, consulte Descripción general de la interfaz de usuario de
ZAP en la documentación en línea de ZAP.
ZAP también es compatible con una potente API y una funcionalidad de línea de comandos, las cuales están más
allá del alcance de esta guía.
IMPORTANTE: solo debe usar ZAP para atacar una aplicación que tiene permiso para probar con un ataque activo.
Debido a que esta es una simulación que actúa como un ataque real, se puede causar daño real a la funcionalidad, los
datos, etc. de un sitio. Si le preocupa usar ZAP, puede evitar que cause daño (aunque la funcionalidad de ZAP se
reducirá significativamente) cambiando al modo seguro.
Para cambiar ZAP al modo seguro, haga clic en la flecha en el menú desplegable de modo en la barra de
herramientas principal para expandir la lista desplegable y seleccione Modo seguro.
Ejecución de un análisis automatizado

La forma más fácil de comenzar a usar ZAP es a través de la pestaña Inicio rápido. Quick Start es un complemento de
ZAP que se incluye automáticamente cuando instaló ZAP.
Para ejecutar un análisis automatizado de inicio rápido:

1. Inicie ZAP y haga clic en la pestaña Inicio rápido de la ventana del área de trabajo.
2. Haga clic en el botón grande Escaneo automático.
3. En el cuadro de texto URL para atacar, ingrese la URL completa de la aplicación web que desea atacar.
4. Haga clic en el botón Atacar.

ZAP procederá a rastrear la aplicación web con su araña y escaneará pasivamente cada página que encuentre. Luego,
ZAP usará el escáner activo para atacar todas las páginas, funciones y parámetros descubiertos.
ZAP proporciona 2 arañas para rastrear aplicaciones web, puede usar cualquiera de ellas o ambas desde esta pantalla.
La araña ZAP tradicional que descubre enlaces al examinar el HTML en las respuestas de la aplicación web. Esta
araña es rápida, pero no siempre es efectiva al explorar una aplicación web AJAX que genera enlaces usando
JavaScript.
Para las aplicaciones AJAX, es probable que la araña AJAX de ZAP sea más eficaz. Esta araña explora la aplicación
web invocando navegadores que luego siguen los enlaces que se han generado. La araña AJAX es más lenta que la
araña tradicional y requiere una configuración adicional para su uso en un entorno "sin cabeza".
ZAP escaneará pasivamente todas las solicitudes y respuestas enviadas a través de él. Hasta ahora, ZAP solo ha
realizado escaneos pasivos de su aplicación web. El escaneo pasivo no cambia las respuestas de ninguna manera y se
considera seguro. El escaneo también se realiza en un subproceso en segundo plano para no ralentizar la
exploración. El escaneo pasivo es bueno para encontrar algunas vulnerabilidades y como una forma de tener una
idea del estado de seguridad básico de una aplicación web y ubicar dónde puede justificarse una mayor investigación.
Sin embargo, el análisis activo intenta encontrar otras vulnerabilidades mediante el uso de ataques conocidos contra
los objetivos seleccionados. El escaneo activo es un ataque real a esos objetivos y puede ponerlos en riesgo, así que no
use el escaneo activo contra objetivos que no tiene permiso para probar.

Interprete los resultados de su prueba

A medida que ZAP rastrea su aplicación web, construye un mapa de las páginas de sus aplicaciones web y los
recursos utilizados para representar esas páginas. Luego registra las solicitudes y respuestas enviadas a cada página y
crea alertas si hay algo potencialmente incorrecto con una solicitud o respuesta.

Ver páginas exploradas

Para examinar una vista de árbol de las páginas exploradas, haga clic en la pestaña Sitios en la ventana de árbol.
Puede expandir los nodos para ver las URL individuales a las que se accede.

Ver alertas y detalles de alertas

El lado izquierdo del pie de página contiene un recuento de las alertas encontradas durante su prueba, divididas en
categorías de riesgo. Estas categorías de riesgo son:

Para ver las alertas creadas durante su prueba:

1. Haga clic en la pestaña Alertas en la ventana de información.

2. Haga clic en cada alerta que se muestra en esa ventana para mostrar la URL y la vulnerabilidad detectada en el
lado derecho de la ventana de información.

3. En las ventanas del área de trabajo, haga clic en la pestaña Respuesta para ver el contenido del encabezado y el
cuerpo de la respuesta. Se resaltará la parte de la respuesta que generó la alerta.

Explorar una aplicación manualmente

La funcionalidad de escaneo pasivo y ataque automatizado es una excelente manera de comenzar una evaluación de
vulnerabilidad de su aplicación web, pero tiene algunas limitaciones. Entre estos se encuentran:

• Las páginas protegidas por una página de inicio de sesión no se pueden detectar durante un escaneo pasivo
porque, a menos que haya configurado la funcionalidad de autenticación de ZAP, ZAP no manejará la
autenticación requerida.
 • No tienes mucho control sobre la secuencia de exploración en un escaneo pasivo o los tipos de ataques
llevados a cabo en un ataque automatizado. ZAP proporciona muchas opciones adicionales para la
exploración y los ataques fuera del escaneo pasivo.

Las arañas son una excelente manera de explorar su sitio básico, pero deben combinarse con la exploración manual
para que sean más efectivas. Las arañas, por ejemplo, solo ingresarán datos básicos predeterminados en los
formularios de su aplicación web, pero un usuario puede ingresar información más relevante que, a su vez, puede
exponer más de la aplicación web a ZAP. Esto es especialmente cierto con cosas como formularios de registro donde
se requiere una dirección de correo electrónico válida. La araña puede ingresar una cadena aleatoria, lo que
provocará un error. Un usuario podrá reaccionar a ese error y proporcionar una cadena con el formato correcto, lo
que puede hacer que se exponga una mayor parte de la aplicación cuando se envíe y acepte el formulario.

Debe explorar toda su aplicación web con un navegador proxy a través de ZAP. Mientras hace esto, ZAP escanea
pasivamente todas las solicitudes y respuestas realizadas durante su exploración en busca de vulnerabilidades,
continúa construyendo el árbol del sitio y registra alertas de posibles vulnerabilidades encontradas durante la
exploración.
Es importante que ZAP explore cada página de su aplicación web, ya sea que esté vinculada a otra página o no, en
busca de vulnerabilidades. La oscuridad no es seguridad, y las páginas ocultas a veces se activan sin previo aviso o
notificación. Así que sé lo más minucioso que puedas cuando explores tu sitio.

Puede iniciar rápida y fácilmente navegadores que están preconfigurados para proxy a través de ZAP a través de la
pestaña Inicio rápido. Los navegadores iniciados de esta manera también ignorarán las advertencias de validación de
certificados que, de otro modo, se informarían.

Para explorar manualmente su aplicación:

1. Inicie ZAP y haga clic en la pestaña Inicio rápido de la ventana del área de trabajo.
2. Haga clic en el botón grande Exploración manual.
3. En el cuadro de texto URL para explorar, ingrese la URL completa de la aplicación web que desea
explorar.
4. Seleccione el navegador que le gustaría usar
5. Haga clic en el botón Iniciar navegador.
Esta opción abrirá cualquiera de los navegadores más comunes que haya instalado con nuevos perfiles.

Si desea utilizar cualquiera de sus navegadores con un perfil existente, por ejemplo, con otros complementos de
navegador instalados, deberá configurar manualmente su navegador para proxy a través de ZAP e importar y confiar
en el certificado ZAP Root CA. Consulte la Guía del usuario de ZAP Desktop para obtener más detalles.

De manera predeterminada, la pantalla de visualización frontal ZAP (HUD) estará habilitada. Desmarcar la opción
relevante en esta pantalla antes de iniciar un navegador desactivará el HUD.

La pantalla de avisos
El Heads Up Display (HUD) es una interfaz nueva e innovadora que brinda acceso a la funcionalidad ZAP
directamente en el navegador. Es ideal para personas nuevas en la seguridad web y también permite que los
evaluadores de penetración experimentados se centren en la funcionalidad de una aplicación al tiempo que
proporciona información y funcionalidad de seguridad clave.
El HUD se superpone en la parte superior de la aplicación de destino en su navegador cuando se habilita a través de
la pantalla "Exploración manual" o la opción de la barra de herramientas. Sólo se admiten navegadores modernos
como Firefox y Chrome.

De manera predeterminada, se muestra una pantalla de inicio para el HUD que incluye un enlace a un tutorial que
lo guiará a través de las funciones del HUD y explicará cómo puede usarlas.

Funciones avanzadas de ZAP

Funciones avanzadas de escritorio

El escritorio tiene una gran cantidad de características que no son evidentes de inmediato para que los nuevos
usuarios no se sientan abrumados.

Hay muchas pestañas que no se muestran por defecto. Se puede acceder a ellos a través de las pestañas de la derecha
con iconos verdes '+'. Puede anclar las pestañas que le gustaría que aparezcan siempre haciendo clic derecho sobre
ellas. Muchas de las pestañas ocultas por defecto aparecerán cuando sea relevante. Por ejemplo, la pestaña
Websockets aparecerá si una aplicación que está utilizando como proxy a través de ZAP comienza a usar
Websockets.
El escritorio también hace un uso intensivo de las opciones de clic derecho sensibles al contexto, así que haga clic
derecho en todas partes mientras se acostumbra a la interfaz de usuario.

El mercado ZAP

El escritorio ZAP tiene una arquitectura de complementos, lo que significa que se pueden agregar nuevas funciones
de forma dinámica.
Un mercado en línea ofrece una amplia gama de complementos de ZAP que agregan muchas características
adicionales a ZAP.
Se puede acceder al mercado a través del botón "Administrar complementos" en la barra de herramientas:

Todos los complementos en el mercado son completamente gratuitos.

Automatización

ZAP es una herramienta ideal para usar en la automatización y admite una variedad de
opciones:

• Escaneos empaquetados de Docker

• Acciones de GitHub
• Marco de automatización
• Modo API y Daemon
Más información sobre ZAP

Ahora que está familiarizado con algunas capacidades básicas de ZAP, puede obtener más información sobre las
capacidades de ZAP y cómo usarlas en la Guía del usuario de escritorio de ZAP. La Guía del usuario proporciona
instrucciones paso a paso, referencias para la API y programación de línea de comandos, videos instructivos y
consejos y trucos para usar ZAP.
También hay enlaces adicionales disponibles a través del botón "Más información" en la pantalla superior de inicio
rápido:

La página enlaza con recursos locales (si están disponibles) y contenido en línea. A continuación se incluyen enlaces
adicionales.

Enlaces útiles

zaproxy.org – Sitio web principal de ZAP

OWASP ZAP Wiki – El wiki de ZAP
OWASP ZAP Desktop User Guide - La guía del usuario de escritorio ZAP
ZAP Users Group – Grupo de Google para usuarios de ZAP
ZAP Developers Group – Grupo de Google para desarrolladores y colaboradores de ZAP