7/25/2019 Practica Owasp Zed Attack Proxy

1/12

PRACTICA OWASP ZED ATTACK PROXY

usaremos la distribucin Web Security Dojo de Maven Security. Aparte del propio

7/25/2019 Practica Owasp Zed Attack Proxy

2/12

7/25/2019 Practica Owasp Zed Attack Proxy

3/12

7/25/2019 Practica Owasp Zed Attack Proxy

4/12

nuestro navegador navegue, por lo que slo tenemos que seleccionar la opcin

Zed Attack Proxy, y el navegador se confgurar automticamente para

utilizar ZAP como proxy

7/25/2019 Practica Owasp Zed Attack Proxy

5/12

!na vez que tenemos a"ierto ZAP y confgurado el navegador, lo siguiente ser

crear una nueva sesin en ZAP Para ello, #acemos clic en el men$ %ile&

'(e) *ession

Para acceder a la aplicacin, introducimos como usuario admin y como contrasea,passord, y entraremos en la p!"ina principal de la aplicacin.+-A

7/25/2019 Practica Owasp Zed Attack Proxy

6/12

7/25/2019 Practica Owasp Zed Attack Proxy

7/12

Para poder realizar la demostracin, vamos a poner el nivel de seguridad en

.o), para que no exista ning$n tipo de compro"acin de seguridad y

podamos pro"ar ataques a nuestras anc#a

7/25/2019 Practica Owasp Zed Attack Proxy

8/12

amos a escri"ir nuestro nom"re, a ver que pasa/

7/25/2019 Practica Owasp Zed Attack Proxy

9/12

Para ello, vamos a ZAP, y "uscamos la pgina en el recuadro *itessituado a la

izquierda/

Para "uscar las vulnera"ilidades, #acemos clic derec#o en el sitio que

queremos "uscarlas, y seleccionamos Attack&'Active *can (ode

7/25/2019 Practica Owasp Zed Attack Proxy

10/12

0n este caso, parece ser que cuando el parmetro name de la peticin

incluye cdigo 1ava*cript este se e2ecuta

7/25/2019 Practica Owasp Zed Attack Proxy

11/12

7/25/2019 Practica Owasp Zed Attack Proxy

12/12

#ste par!metro es el nombre $ue introducimos en el %ormulario, as& $ue vamos a#acer una prue"a por nosotros mismos, para pro"ar si lo que nos dice ZAP es

cierto