domingo, 15 de noviembre de 2015

Zaproxy- Zed Attack Proxy la herramienta de auditoria activa




Saludos mis fieles lectores en esta oportunidad les traigo la herramienta llamada "Zaproxy" ( Zed Attack Proxy), esta programada en java la cual el año 2013 gano el top de la mejor herramienta de auditorias difundida por la grande organización de seguridad a nivel mundial OWASP.
Algunos la han llamado la hermana menor de Burp Suite : )

En esta oportunidad haré este POST en windows, antes de aclarar zaproxy se encuentra en kali linux para los que deseen probarla.

Características: 


  • Interceptacion Proxy  
  • Spiders tradicionales y AJAX
  • Escáner automatizado
  • Escáner pasivo
  • Navegación forzada
  • Fuzzer
  • Certificados SSL dinámicos
  • Soporte de tarjetas inteligentes y certificados digitales de clientes
  • Apoyo tomas Web
  • Soporte para una amplia gama de lenguajes de script
  • Plug-n-Hack apoyo
  • El soporte de autenticación y la sesión
  • Potente API basada en REST
  • Opción Automático actualización
  • Integrado y creciente mercado de los complementos

Descarga:

https://github.com/zaproxy/zaproxy/wiki/Downloads 


La instalación la vamos a omitir porque es demasiado fácil, por ende cualquiera puede hacerlo sin ningún problema, deben tener Java instalado en su equipo para poder correr la herramienta.

Interactuando con la plataforma:

como vemos la estructura es muy detallada y va de la mano con las personas que son nuevas en experimentar la herramienta, que por si es demasiada sencilla para todos.
como observamos en  una pequeña pantalla donde nos da un mensaje de bienvenida a la herramienta nos aparece el formulario "URL a atacar", con la cual añadiremos nuestro servidor para hacer la prueba de auditoria.

Es demasiado sencillo como se los explique al momento de añadir la url le darán en atacar  y automáticamente empezara el escaneo primario con el "Spider", el capturar de módulos y archivos.

Algo bueno del primer escaneo es que nos dará la lista en general del servidor con la cual nosotros mismos podemos analizar y obtener datos que quizás un escaner no pueda capturar porque a todos nos a pasado en algunas de nuestras auditorias.

Pasaremos al segundo escaneo, la cual es 100% ofensivo porque ejecutara payloads en todos los parámetros para comprobar  si son vulnerables y empezara a capturarlos en la pestaña "Alertas", cabe aclarar que el escaneo se ejecuta automáticamente cuando termina por si solo es escaneo primario de igual manera si lo cancelas.

 Como bien lo dije hace momentos este segundo escaneo activo, lo que hace es añadir payloads en cada sector del  servidor web en busca de un análisis positivo con un vector de ataque que lo confirmara si es vulnerable o no, con la cual nuestros resultados se irán generando en la sesión "Alertas". la cual se van a definir en una lista por categorías de Errores, en mi caso el primero en la lista son los conocidos XSS:

Ahora lo que encontramos algo mas que un simple escaneo, la cual al darle 2 clip a nuestro enlace vulnerable en la sesión de las alertas nos parecen la ventada con la información detallada de dicha vulnerabilidad con su respectivo payload probado, de igual manera pueden añadir el suyo sin ningún problema pero haré esta prueba con el payload que ofrece zaproxy para comprobar su eficacia.

Comprobando el payload en mi caso lo haré con el navegador Mantra

Nuestro objetivo es vulnerable a un XSS, pero vamos a ver las otras vulnerabilidades que hemos encontrado, como la vulnerabilidad SQL inyección 

De igual manera vamos a comprobar la vulnerabilidad en el navegador 

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1' ORDER BY sort' at line 1SELECT * FROM biblioteca WHERE id='17'' AND estado='1'  ORDER BY sort 

sqlmap.py -u http://www.ejemplodepagina.com.pe/portal/index.php?id=17 --tamper="space2comment,charencode.py" -v 3 --random-agent --dbs --timeout=10 --no-cast

En mi caso tuve que utilizar tamper para que mi objetivo sea testeado sin ser bloqueado de la pagina web por el Firewall, si deseas aprender como bypassearlo lo invito al siguiente POST:


de igual manera podemos interactuar con las demás listas.


Pero bueno espero les aya gustado el siguiente articulo, es un placer escribir en mi humilde blog nuevamente luego de un relax jajajaja, este POST fue elaborado por pedido de algunos seguidores míos, Un Saludo.

1 comentario:

Datos del Autor


Obra de K. Haring

Hola, mi nombre es omar soy estudiante de Ingenieria de sistemas en Perú. actualmente me estoy dedicando a dar ponencias sobre seguridad Informática.
Soy una persona sencilla y humilde que me encanta aprender nuevos temas en mis tiempos libres.


"Me considero un novato en busca de conocimiento"


Entradas Populares