Encontrar Vulnerabilidades con Zed Attack Proxy

Documentos relacionados
Webinar Gratuito Zed Attack Proxy

Vulnerabilidades en Aplicaciones Web Webinar Gratuito

Ataques a Bases de Datos Webinar Gratuito

Análisis Forense con Autopsy 2 Webinar Gratuito

Explotación a CMSs Web

Ingeniería Social. Webinar Gratuito. Alonso Eduardo Caballero Quezada. Consultor en Hacking Ético, Informática Forense & GNU/Linux

Pruebas de Penetración contra Aplicaciones Web

Webinar Gratuito OWASP WebScarab

Webinar Gratuito Nmap

Webinar Gratuito OpenVAS

Webinar Gratuito Google Hacking

Webinar Gratuito Hacking Ético

Sitios y programas recomendados

Guía de instalación del navegador Mozilla Firefox

MANUAL PARA GESTIÓN DE METADATOS

Manual del Alumno - Blackboard

MANUAL DEL AULA VIRTUAL (MOODLE)

QUÉ ES GOOGLE CHROME?

Manual de usuario Evaluador Revisión de documentos para ponencias en Open Conference System (OCS) VII Coloquio Internacional de Educación

MANUAL DE USUARIO PADRES DE FAMILIA TAREAS DIARIAS. WEBSOFT TAREAS DIARIAS

Manual de Usuario del Campus Virtual

Como Convertirte en un Profesional de la Seguridad Informática. Como Convertirte en un Profesional de la Seguridad Informática

Bienvenido. Guía de Usuario. La página de ingreso al IXAYA-PUEBLA la encontrarás en:

Webinar Gratuito Informática Forense

BANCO CENTRAL DE VENEZUELA

Uso de datos DWOS en Lava Design

CRONOGRAMA INFORMÁTICA

Registro de Proveedores v2

Experto en Introducción Avanzada en los Sistemas Linux

MANUAL DE CONFIGURACION DE ADOBE PARA LA VALIDACION DE LA FIRMA DE UN DOCUMENTO

Curso de Manipulador de alimentos copia 2. Guía del alumno

MANUAL DE USUARIO Plataforma de aulas virtuales Blackboard Vicerrectoría de Investigación Grupo de Gestión del Conocimiento

Navegando al Día. Publicado en Revista.Seguridad ( Inicio > Navegando al Día. Por David Eduardo Bernal Michelena

PROGRAMA NACIONAL DE POSGRADOS DE CALIDAD

AULA VIRTUAL WiziQ. En la plataforma de gestión del aprendizaje (LMS) de la Universidad está disponible la herramienta para clases virtuales WiziQ.

Manual de usuario Servicio de Gestión de Control Escolar. para padres de familia y/o representantes

DIRECCIÓN GENERAL DE REGISTRO CIVIL, IDENTIFICACIÓN Y CEDULACIÓN. Sistema Nacional de Identificación Ciudadana. Manual de Usuario

GENEXUS & OWASP TOP 10

En particular para WORD y POWER POINT se recomienda leer los manuales de WORD 2010 y POWER POINT 2010 que fueron la base del curso normal.

Guía de navegación del estudiante

Guía sobre el manejo de Blackboard Learn 9.1 para estudiante

Guía Rápida para el Profesional. Área de Gestión Sanitaria Este de Málaga-Axarquía. Guía rápida

Soluciones BYOD para el aula. 24.Febrero.2016

Programa de Programación Páginas web JavaScript y ASP.NET (Visual Basic)

Pentesting con OWASP Zed Attack Proxy

Índice general. Pág. N. 1

Manual de Usuarios: Sistema Generador de Sitios Web de Infocentros (e-infocentro)

Plone 3: Un sistema de gestión de contenidos libre

Diseño de Páginas Web

Escala San Martín. InstruccIones para la aplicación InformátIca. Evaluación de la Calidad de Vida de Personas con Discapacidades Significativas

Seguridad en Aplicaciones Web

. REGISTRO DE ENFERMEDADES RARAS

SISTEMA DE INFORMACIÓN PARA COMERCIOS: SIC

GUÍA ESTADOS FINANCIEROS PRESENTACIÓN. Formulario 605. Versión - 5. Tus impuestos, tu País!

3) Ingreso a la Aplicación Usuarios Docentes / No Docentes

Guía del dispositivo de Bomgar B200 TM. Índice. BOMGAR BASE 3 Guía del dispositivo B200

Mozilla Firefox. Barra de. Barra de navegación. menús. Barra de. Barra de dirección. marcadores

Diseño de Páginas Web (Titulación Oficial)

CREAR UN BLOG EN BLOGGER

Noticias RED Remisión electrónica de documentos

SIEWEB INTRANET (Sistema Integrado Escolar Web Intranet) Manual de Usuario VERSION 1.0 H&O SYSTEM S.A.C. Consultores en Sistemas de Información

Publicación de Cartografía en Internet

MANUAL DEL USUARIO DE SAC (SISTEMA DE ARCHIVOS COMPARTIDOS)

MANUAL DE USUARIO SISTEMA DE VIGILANCIA EPIDEMIOLÓGICA DE LA MORBILIDAD MATERNA SEVERA

Manual de Usuario. Portal Web Público CAPUFE. Julio 2016 BPCP

LENGUAJE PHP Y CAKEPHP FRAMEWORK

El estado actual de la Seguridad Informática. El Estado Actual de la Seguridad Informática

NuevaTel PCS de Bolivia S.A. VIVA 3G. Manual de usuario. Version 1.0

Movistar Fusión Empresas

DEL 5 AL 9 DE ENERO. Guía de usuario para Firma Electrónica de Actas de Evaluación Sistema Integral de Información Académica

Incorporando Rampas Digitales a Lihuen 4

Módulo 4. Elaboración y Presentación de Documentos e Información

MANUAL DE USUARIO PROVEEDOR MODULO CERTIFICADOS PARA PROVEEDORES. Desarrollado por:

Manual de Usuario/a sobre el uso de firma electrónica avanzada

MANUAL DE SISTEMA DE GESTIÓN DE LICITACIONES OTIC DE LA BANCA

SESIÓN 6 INTRODUCCIÓN A POWER POINT

Navegadores. Los navegadores. Privacidad. Oscar Herrero INTERNET SEGURO CEIP ARCIPRESTE DE HITA. Fuente:OSI

Una Interfaz Grafo-Matriz

Nimbus, servicios en la nube. Conceptos Básicos

UNIVERSIDAD METROPOLITANA LATIN CAMPUS GUÌA DE ESTUDIO Y EVALUACIÒN. Informática General IV- POWER POINT TEXTO ELECTRÓNICO GRATUITO EDITADO POR UMLA

MANUAL DE USUARIO. Funcionalidad del Asistente de Mantenimiento LAN+PC de Movistar GUÍA BÁSICA DE MANEJO. Versión 2

Nero InfoTool Manual. Nero AG

Manual de Usuario para Proponentes

Peppermint. David De Maya Merras. Pedro José Hernández López

MARIA. -Plan de Estudios- Doctorado en Informática

UNIVERSIDAD AGRO-ALIMENTARIA DE MAO IEES-UAAM

Juego Jarras con Agua Guía del Usuario

Manual Usuario SAT Cliente Gratuito FD

CANTABRIA GOBIERNO DE

Plataforma de formación. Guía de manejo

Manual de usuario. Radiology Scheduler

CERTIFICACIÓN THD-CMF

Introducción al firmware 2.0 para IPCorder

Guía de Instalación CS-Time

Transcripción:

Encontrar Vulnerabilidades con Zed Attack Proxy Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Sábado 25 de Abril del 2015

Presentación Alonso Eduardo Caballero Quezada es Brainbench Certified Network Security (Master), Computer Forensics (U.S.) & Linux Administration (General), IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling y Miembro de Open Web Application Security Project (OWASP). Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año 2014, y Conferencista en PERUHACK 2014. Cuenta con más de doce años de experiencia en el área y desde hace ocho años labora como Consultor e Instructor Independiente en las áreas de Hacking Ético & Informática Forense. Perteneció por muchos años al grupo internacional de Seguridad RareGaZz e integra actualmente el Grupo Peruano de Seguridad PeruSEC. Ha dictado cursos en Perú y Ecuador, presentándose también constantemente en exposiciones enfocadas a, Hacking Ético, Informática Forense, GNU/Linux y Software Libre. @Alonso_ReYDeS www.facebook.com/alonsoreydes pe.linkedin.com/in/alonsocaballeroquezada/

Qué es Zed Attack Proxy? Zed Attack Proxy (ZAP) es un herramienta integrada para pruebas de penetración, la cual permite encontrar vulnerabilidades en las aplicaciones web. Está diseñada para ser utilizada por personas con un amplio espectro de experiencia en seguridad, siendo también ideal para desarrolladores y personas realizando pruebas funcionales y quiens son nuevos en los temas de pruebas de penetración. ZAP proporciona escaneres automáticos como también un conjunto de herramientas para encontrar vulnerabilidades en seguridad de manera manual. Entre las características más sobresalientes de ZAP se pueden enumerar, es Open Source, Multiplataforma, fácil de instalar, completamente libre, facilidad de uso, páginas ayuda completas, traducido a 20 lenguajes, basado en la comunidad y que está e desarrollo activo. * ZAP - https://www.owasp.org/index.php/owasp_zed_attack_proxy_project

Funcionalidades de ZAP Proxy de Interceptación. Escaner Automático Escaner Pasivo Navegación Forzada Fuzzer Certificados SSL Dinámicos Soporte para Web Sockets Soporte para un amplio rango de lenguajes de scripting Soporte Plug-n-Hack * https://www.owasp.org/index.php/owasp_zed_attack_proxy_project#tab=functionality

Proxy de Interceptación ZAP es un proxy de interceptación. El cual permite observar todas las solicitudes realizadas hacia la aplicación web y todas las respuestas recibidas desde esta. Se puede definir además Break Points, los cuales permiten cambiar las solicitudes y respuestas al vuelo. Break Points Permiten interceptar una solicitud desde el navegador y cambiarlo antes de ser enviado hacia la aplicación en evaluación. También se pueden cambiar las respuestas recibidas desde la aplicación. La solicitud o respuesta será mostrada en la pestaña de Break, permitiendo cambiar campos ocultos o deshabilitados, permitiendo evitar o sobrepasar validaciones en el lado del cliente. El cual es una técnica esencial en las pruebas de penetración * http://code.google.com/p/zaproxy/wiki/helpstartconceptsintercept * http://code.google.com/p/zaproxy/wiki/helpstartconceptsbreakpoints

Una Prueba de Penetración Básica Explorar: Usar el navegador para explorar todas las funcionalidades proporcionadas por la aplicación. Seguir los enlaces, presionar todos los botones, llenar y enviar todos los formularios. Si las aplicaciones soportan varios roles, hacer esto con cada rol. Para cada rol se debe guardar una sesión diferente de ZAP en un archivo e iniciar una nueva sesión antes de empezar a utilizar el siguiente rol. Spider: Utilizar la Araña para encontrar URLs perdidos u ocultos. También se puede utilizar la Araña AJAX para mejorar los resultados y capturar los enlaces construidos de manera dinámica. Y explorar cualquier enlace encontrado. * http://code.google.com/p/zaproxy/wiki/helppentestpentest

Una Prueba de Penetración Básica (Cont.) Navegación Forzada: Utilizar el escaner de navegación forzada para encontrar archivos y directorios sin ninguna referencia. Escaneo Activo: Utilizar el escaner activo para encontrar vulnerabilidades sencillas. Prueba Manual: Las anteriores pruebas pueden encontrar vulnerabilidades sencillas. Sin embargo para encontrar más vulnerabilidades se hace necesario evaluar manualmente la aplicación. Se puede utilizar para este propósito la Guía de Pruebas de OWASP. * http://code.google.com/p/zaproxy/wiki/helppentestpentest * https://www.owasp.org/index.php/owasp_testing_project

Cursos Virtuales Todos los Cursos Virtuales dictados están disponibles en Video. Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=curso_de_hacking_etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=curso_de_hacking_aplicaciones_web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=curso_de_informatica_forense

Más Contenidos Videos de 25 Webinars Gratuitos sobre Hacking Ético, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Diapositivas utilizadas en los Webinars Gratuitos. http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Mi Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1

. Preguntas, Comentarios, Sugerencias, etc...

Muchas Gracias! Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Sábado 25 de Abril del 2015

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback