Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
0 recomendaciones139 vistas
Alonso Eduardo Caballero Quezada, experto en hacking ético y forense digital, ofrece un webinar gratuito sobre el mapeo de aplicaciones web utilizando Zed Attack Proxy (ZAP). ZAP es una herramienta de código abierto diseñada para pruebas de penetración, que permite interceptar y analizar el tráfico entre el navegador y la aplicación web. El documento también detalla técnicas de exploración como el 'spidering', navegación forzada y fuzzing para identificar vulnerabilidades en aplicaciones.
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
- 1. Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com Jueves 6 de Agosto del 2020 WebinarGratuito Mapear una Aplicación Web con Zed Attack Proxy
- 2. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Presentación Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals, Phishing Countermeasures Pen Testing, Certificate Autopsy Basics and Hands On e ICSI Certified Network Security Specialist. Instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Cuenta con más de 17 años de experiencia y desde hace 13 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux. https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero https://www.facebook.com/alonsoreydes/ http://www.reydes.com https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com
- 3. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Mapear una Aplicación Web En una Prueba de Penetración existe una etapa de exploración, donde el profesional intenta conocer tanto como sea posible el sistema en evaluación. El mapeo implica conocer aquello lo cual constituye la aplicación, además de su entorno. Abarca diferentes elementos, los cuales se detallan a continuación: ● Enumerar el contenido y la funcionalidad de las aplicaciones ● Si algo está oculto, se requiere realizar un proceso para tratar de descubrirlo ● Examinar cada aspecto sobre el comportamiento, mecanismos de seguridad, y tecnologías ● Determinar la superficie de ataque y vulnerabilidades * https://www.zaproxy.org/getting-started/
- 4. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Zed Attack Proxy ZAP es un herramienta libre y de fuente abierta para pruebas de penetración, la cual es mantenida bajo el proyecto OWASP. ZAP está específicamente diseñado para realizar pruebas contra aplicaciones web, siendo flexible y ampliable. En su núcleo, ZAP es aquello lo cual se conoce como un proxy “Hombre en el Medio”. Se sitúa entre el navegador del profesional en pruebas de penetración y la aplicación web, de tal manera puede interceptar e inspeccionar los mensajes enviados entre el navegador y la aplicación web, modificar el contenido si es necesario, para luego retransmitir los paquetes hacia su destino. Puede ser utilizado como una aplicación autónoma y como un proceso demonio. ZAP proporciona funcionalidades para un amplio rango de niveles en conocimientos; desde desarrolladores hasta profesionales nuevos en pruebas de seguridad, como también especialistas en el tema. * https://www.zaproxy.org
- 5. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Spider Es utilizado para automáticamente descubrir nuevos recursos (URLs) en un sitio particular. Inicia con una lista de URLs a visitar llamadas semillas, lo cual depende de como el Spider inicia. Luego visita estas URLs, identifica todos los hipervínculos en la página, y luego los añade hacia la lista de URLs a visitar, luego el proceso continúa recursivamente conforme nuevos recursos se encuentren. El Spider puede ser configurado e iniciado utilizando ZAP. Durante el procesamiento de una URL, el Spider hace una petición para capturar el recurso, luego interpretar la respuesta identificando hipervínculos. Tiene diferentes comportamientos cuando procesa ciertos tipos de respuestas: ● HTML ● Archivos robots.txt ● Formato OData Atom ● Respuesta de texto No HTML ● Respuesta No texto * https://www.zaproxy.org/docs/desktop/start/features/spider/
- 6. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Forced Browse (Navegación Forzada) Zed Attack Proxy intenta descubrir directorios y archivos utilizando una navegación forzada. Un conjunto de archivos son proporcionados, los cuales contienen un extenso número de potenciales nombres de directorios y archivos. ZAP intenta acceder directamente hacia todos los archivos y directorios listados en el archivo seleccionado, en lugar de encontrar los enlaces en estos. Esta funcionalidad se basa en el código del proyecto de nombre DirBuster de OWASP. * https://www.zaproxy.org/docs/desktop/addons/forced-browse/
- 7. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Fuzzing El Fuzzing es una técnica para enviar una gran cantidad de datos inválidos o inesperados hacia algo. Zed Attack Proxy permite hacer fuzzing a cualquier petición utilizando: ● Un conjunto incorporado de Payloads ● Payloads definidos mediante add-ons opcionales ● Scripts personalizados Algunos temas adicionales importantes: ● Generadores de Payloads ● Procesadores de Payloads ● Procesadores de Ubicación de Payloads ● Procesadores de Mensajes * https://www.zaproxy.org/docs/desktop/addons/fuzzer/
- 8. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Curso Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web e-mail: reydes@gmail.com Sitio web: http://www.reydes.com
- 9. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Demostraciones
- 10. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Cursos Virtuales Disponibles en Video Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=Curso_de_Hacking_Etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=Curso_de_Informatica_Forense Curso Virtual Hacking con Kali Linux http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux Curso Virtual OSINT - Open Source Intelligence http://www.reydes.com/d/?q=Curso_de_OSINT Curso Virtual Forense de Redes http://www.reydes.com/d/?q=Curso_Forense_de_Redes Y todos los cursos virtuales: http://www.reydes.com/d/?q=cursos
- 11. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com Más Contenidos Videos de 57 webinars gratuitos http://www.reydes.com/d/?q=videos Diapositivas de los webinars gratuitos http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1
- 12. Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com WebinarGratuito Mapear una Aplicación Web con Zed Attack Proxy Jueves 6 de Agosto del 2020