OWASP ZAP. La herramienta para auditar la seguridad de páginas web

Una de las herramientas más potentes del programa OWASP es ZAP (Zed Attack Proxy). Esta plataforma está diseñada especialmente para monitorizar la seguridad de las aplicaciones web de las compañías, siendo una de las aplicaciones del proyecto más activas en cuanto a auditorías de seguridad.

Open Web Application Security Project (OWASP) es un proyecto abierto sin ánimo de lucro destinado a mejorar la seguridad de las diferentes aplicaciones y servicios web con el fin de conseguir un Internet más seguro. 

Las principales características de OWASP ZAP son:

• Herramienta totalmente gratuita y de código abierto.
• Herramienta multi-plataforma, compatible incluso con Raspberry Pi.
• Fácil de instalar, dependiendo únicamente de Java 1.7 o superior.
• Posibilidad de asignar un sistema de prioridades.
• Traducida a más de 12 idiomas, entre ellos, el español.
• Excelente manual de ayuda y gran comunidad en la red.

Los usuarios de esta herramienta forense de seguridad podrán auditar diferentes aplicaciones web con una serie de funciones y análisis específicos:

1. Posibilidad de comprobar todas las peticiones y respuestas entre cliente y servidor.
2. Posibilidad de localizar recursos en un servidor.
3. Análisis automáticos.
4. Análisis pasivos.
5. Posibilidad de lanzar varios ataques a la vez.
6. Capacidad para utilizar certificados SSL dinámicos.
7. Soporte para utilizar tarjetas inteligentes (DNI-e, por ejemplo) y certificados personales.
8. Análisis de sistemas de autenticación.
9. Posibilidad de actualizar la herramienta automáticamente.
10. Dispone de una tienda de extensiones (plugins) con las que añadir más funcionalidades a la herramienta.

Recientemente se ha publicado la versión 2.4 de ZAP. Esta nueva versión supone un importante cambio en la herramienta ya que implemente una serie de funciones y herramientas

• Han añadido un nuevo “modo de ataque” para buscar vulnerabilidades.
• Mejoras en el sistema de inyección que permite atacar varios puntos a la vez.
• Nuevo sistema de políticas que nos permite elegir las reglas que formarán parte del análisis.
• Nuevos diálogos de escaneo con opciones avanzadas.
• Por defecto sólo se muestran las pestañas básicas del programa, quedando el resto ocultas hasta que el usuario las necesita.
• Nuevos plugins: “control de acceso” y “secuencia de escaneo”.
• Se han añadido nuevas reglas de análisis y se han cambiado algunos parámetros de otras reglas existentes.
• Cambios en la interfaz del programa, por ejemplo, una ventana de carga, mejoras en la barra de progreso y un nuevo sistema de alertas.

Zona descargas

• Podemos descargar la última versión de ZAP desde la web principal del proyecto, alojada en Google Code.https://code.google.com/p/zaproxy/wiki/Downloads?tm=2

Fuente: Redeszone.net