27 nov 2020

(JABBA) THE HUD: El interfaz de OWASP ZAP

Por el 27 nov 2020 con 0 comentarios



Buenas a todos/as, hace mucho tiempo (bueno en verdad hace no tanto) en una galaxia de internet muy lejana (bueno vale no tan lejana) aparecía un escáner de aplicaciones web de código abierto... hoy os vengo hablar esta vez, no sólo del escáner archi conocido de OWASP ZAP, si no su interfaz para hacer análisis incluido en el navegador. Para quien no lo conozca, o sea más de utilizar por ejemplo Burp Suite, HUD es una nueva interfaz con la que interactuar mientras hacemos trabajos de auditoría o pentesting web. La interfaz de HUD ya viene integrada en las últimas versiones de ZAP, de hecho desde la versión 2.8.

¿Pero que es un "HUD"? El acrónimo corresponde a "Heads Up Display" , es decir, una pantalla de visualización, muy presente en el mundo de la realidad aumentada, y muy utilizado en los coches de alta gama, que en este caso utilizan una imagen digital transparente que se proyecta en el parabrisas de un automóvil, ofreciéndonos información que nos puede dar el ordenador de a bordo del coche. Quedémonos con esta imagen, y cambiemos el parabrisas del automóvil por nuestro navegador Firefox.

Pongamos que ahora vamos a probar ZAP con la página de pruebas de Mutillidae, por lo que iniciamos ZAP normalmente. Previamente, en las opciones de Firefox habremos puesto en las opciones de proxy la dirección de loopback, o en su defecto si tenemos la extensión FoxyProxy lo haremos más rápido aún. 



Como recordatorio para el uso de ZAP y para que nos aparezca la interfaz de HUD y para usar el escáner en general, tendremos que importar al navegador el certificado. Para ello nos vamos a Herramientas y a opciones. Dentro de las opciones nos desplazamos hasta Certificados SSL Dinámicos:

Generar certificado para importar al navegador

A partir de aquí, lo que tendríamos que hacer es guardar el certificado e importarlo a Firefox, en el apartado de certificados, y agregarlo como Autoridad certificadora en Importar, y nos quedaría de la siguiente manera:



Una vez ya hemos configurado nuestro entorno (he querido hacer todos los pasos para la gente que no esté familiarizada con los escáneres proxy web) iniciamos OWASP ZAP:

Inicio de ZAP

Este es el escáner pero ahora cuando carguemos nuestra página objetivo en el navegador nos aparecerá lo siguiente:



Con lo que ya podríamos continuar haciendo nuestra auditoría de la página en el navegador. Si nos fijamos, a los dos lados de la pantalla nos aparecerán superpuestas, las opciones típicas de ZAP, por ejemplo, podríamos hacer un escáner desde aquí o hacer un crawler de la página:







Vamos ahora a explotar una vulnerabilidad a través del proxy, para ello, en la interfaz de la izquierda vamos a activar el on en Break, para poder interceptar la petición que queramos. 




Y ahora ya podemos interceptar la petición objetivo que queremos hacer, por ejemplo, para los XSS, en Lookup DNS solo tendríamos que pulsar:


Al pulsar en Lookup DNS nos aparecerá la petición a interceptar:


Es aquí donde podemos modificar la misma, con los parámetros que mandamos para insertar el típico script/alert de XSS:








La interfaz de HUD también nos brinda todo el árbol de la web que va capturando de forma pasiva, además del típico crawling (Spider o Ajax Spider) el cual podemos lanzar también desde el mando derecho de la interfaz.



El escáner pasivo de ZAP también nos irá proporcionando vulnerabilidades, como por ejemplo, falta de cabeceras de seguridad en la aplicación (como X-Frame que protege contra ataques de clickjacking), así como pistas de potenciales vulnerabilidades.


En definitiva, una funcionalidad de ZAP en las últimas versiones muy vistosa para poder analizar una aplicación web desde la propia página para echar un primer vistazo a sus vulnerabilidades, y además muy sencillo de usar y para toda la familia. ¿Qué os parece?.


¡Saludos!
      editar

0 comentarios:

Publicar un comentario

< >