Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
OWASP Zed Attack Proxy
(ZAP)
Introducción
@SuperSerch
JaverosMx
¿Por qué ZAP?
• Dado que es imposible construir aplicaciones web que sean
seguras si no se sabe como atacarlas
• Y como pa...
¿Qué es ZAP?
• Herramienta de pruebas de penetración
• Multiplataforma, facil de usar e instalar
• Basado en Paros Proxy
•...
Características
• Intercepting Proxy
• Active and Passive Scanners
• Spider
• Brute force
• Fuzzing
Lista de materiales
• Descargar de: https://github.com/zaproxy/zaproxy/wiki/Downloads
• Aplicación de prueba: The Bodgeit ...
Demo
• Interceptar llamadas
• Modificar valores en parámetros de una petición
• Modificar valores en Cookies de una petición...
Gracias.
(Preguntas???)
Upcoming SlideShare
Loading in …5
×

Zed Attack Proxy

1,072 views

Published on

Presentación en JaverosMX sobre el Zed Attack Proxy

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Zed Attack Proxy

  1. 1. OWASP Zed Attack Proxy (ZAP) Introducción @SuperSerch JaverosMx
  2. 2. ¿Por qué ZAP? • Dado que es imposible construir aplicaciones web que sean seguras si no se sabe como atacarlas • Y como para muchos desarrolladores las pruebas de penetración son Magia Negra • Entonces enseñemos a los desarrolladores las técnicas básicas de penetración (Además de técnicas de desarrollo seguro, el OWASP Top Ten, Ciclos de desarrollo de software seguro, análisis estático de código, revisiones de código, etc., etc.)
  3. 3. ¿Qué es ZAP? • Herramienta de pruebas de penetración • Multiplataforma, facil de usar e instalar • Basado en Paros Proxy • Amplia documentación (https://github.com/zaproxy/zap-core-help/wiki)
  4. 4. Características • Intercepting Proxy • Active and Passive Scanners • Spider • Brute force • Fuzzing
  5. 5. Lista de materiales • Descargar de: https://github.com/zaproxy/zaproxy/wiki/Downloads • Aplicación de prueba: The Bodgeit Store
 https://code.google.com/p/bodgeit/downloads/list • Apache Tomcat http://apache.webxcreen.org/tomcat/tomcat-8/ v8.0.23/bin/apache-tomcat-8.0.23.tar.gz
  6. 6. Demo • Interceptar llamadas • Modificar valores en parámetros de una petición • Modificar valores en Cookies de una petición • Active Scanner • Fuzzer
  7. 7. Gracias. (Preguntas???)

×