Realizar Un Spidering Dirigido Por El Usuario Utilizando Zed Attack Proxy

7

Click here to load reader

description

Realizar Un Spidering Dirigido Por El Usuario Utilizando Zed Attack Proxy

Transcript of Realizar Un Spidering Dirigido Por El Usuario Utilizando Zed Attack Proxy

Page 1: Realizar Un Spidering Dirigido Por El Usuario Utilizando Zed Attack Proxy

Realizar un Spidering Dirigido por el Usuario utilizando Zed Attack Proxy Submitted by ReYDeS on Wed, 10/15/2014 - 17:33

Un Spidering dirigido por el Usuario es una técnica más sofisticada y controlada, la cual es usualmente preferible a un spidering automático. En este escenario el usuario recorre o transita a través de la aplicación web de la manera usual utilizando un navegador web, intentando navegar a través de todas las funcionalidades de la aplicación web. Mientras esto es realizado, el tráfico resultante se pasa a través de una herramienta combinando un proxy de interceptación y spider, el cual vigila todas las peticiones y respuestas. La herramienta construye un mapa de la aplicación, incorporando todas las URLs visitadas por el navegador. Esta también interpreta todas las respuestas desde la aplicación en la misma manera como un spider consciente de la aplicación y actualiza el mapa con el contenido y funcionalidad que descubre.

Se inicia un navegador web como Firefox y se utiliza FoxyProxy para definir la utilización de Zed Attack Proxy como Proxy de interceptación. Luego se ingresa a la aplicación web en evaluación.

Page 2: Realizar Un Spidering Dirigido Por El Usuario Utilizando Zed Attack Proxy

Se procede a navegar toda la aplicación normalmente, intentando visitar cada enlace / URL descubierta, completar y enviar cada formulario, y procediendo a través de todas las funciones de varios pasos hasta su culminación.

Page 3: Realizar Un Spidering Dirigido Por El Usuario Utilizando Zed Attack Proxy

Opcionalmente se puede iniciar al Spider de Zed Attack Proxy, el cual utilizará todo el contenido ya enumerado como punto de inicio. Se sugiere identificar cualquier URL inadecuada que pueda romper la sesión con la aplicación, para excluirla del alcance del Spider.

Page 4: Realizar Un Spidering Dirigido Por El Usuario Utilizando Zed Attack Proxy

Hacer clic derecho, para luego hacer seleccionar la opción “Attack -> Spider Subtree” o Ataque -> Spider a Rama.

Page 5: Realizar Un Spidering Dirigido Por El Usuario Utilizando Zed Attack Proxy

Finalizado el proceso, anotar en el panel superior izquierdo correspondiente al mapa del sitio, la visualización de un nuevo icono “Araña” precediendo algunas URLs / Enlaces. Esto comunica que estos recursos han sido obtenidos o capturados mediante el Spider de ZAP. En el panel inferior de la pestaña “Spider” se visualiza en la columna “Flags” como algunas de las URLs / Enlaces descubiertos por el Spidering Dirigido por el Usuario han sido utilizados por la herramienta Spider de Zed Attack Proxy.

Page 6: Realizar Un Spidering Dirigido Por El Usuario Utilizando Zed Attack Proxy

El mapa del sitio generado por el Proxy de Interceptación y el Spider contiene información valiosa sobre la aplicación objetivo, la cual será utilizada posteriormente para identificar diversas superficies de ataque expuestas por la aplicación web.

Page 7: Realizar Un Spidering Dirigido Por El Usuario Utilizando Zed Attack Proxy

Fuentes:

https://code.google.com/p/zaproxy/