Mostrando entradas con la etiqueta ZAP. Mostrar todas las entradas
Mostrando entradas con la etiqueta ZAP. Mostrar todas las entradas

martes, 1 de julio de 2025

Guía Definitiva para Usar OWASP Zed Attack Proxy (ZAP): Primeros Pasos Configuración

Comment

¿Qué es OWASP ZAP?

OWASP ZAP (Zed Attack Proxy) es una herramienta de seguridad de código abierto que te permite encontrar vulnerabilidades en tus aplicaciones web. Es mantenida por la comunidad OWASP, una organización sin fines de lucro dedicada a mejorar la seguridad del software.


Configuración Inicial de OWASP ZAP


Para comenzar con la instalación, dirígete a la página principal dando click aqui, donde encontrarás diversas versiones del software, dependiendo del sistema operativo de tu equipo. En mi caso, utilizaré la versión para Linux Installer.

Al hacer clic en el botón de descarga, obtendrás un archivo con extensión ".sh". A este archivo, deberás otorgarle los permisos necesarios, en este caso, los permisos de ejecución. Luego, lanza el archivo con los permisos de "sudo".



Una vez iniciado el proceso, aparecerá una ventana de instalación que te guiará a través de los siguientes pasos: aceptar los términos y condiciones, seleccionar el tipo de instalación y elegir la ubicación donde deseas instalar el software.



Para finalizar, realiza una búsqueda de ZAP en la barra de búsqueda y haz clic en el icono que aparece.




Con esto ya tenemos zap corriendo en la maquina.



 

Configuracion de ZAP


Para utilizar la herramienta se debe configurar previamente tu navegador con un plugin ampliamente reconocido llamado Foxyproxy, que se instalara como extension de tu navegador. Una vez esto, se ingresar toda la información requerida.



Como ultimo paso se debe agregar un certificado proporcionado por ZAP, este garantiza la seguridad de la transmisión de datos. Sin este certificado, la transmisión de la información podría verse interrumpida en sitios web que utilicen SSL/TLS. Para esto se ejecuta ZAP, y en el navegador mientras esta activo la intercepcion de trafico. Se  ingresa a http://zap/ , se da click en la parte de download y se descargara un archivo con extension ".cer".



En las configuraciones del navegador, en la barra de busqueda se introduce certificado, y se le da un click. 


Ahi la seccion de authorities, se da click en importar y se busca el certificado previamente descargado.



Para finalizar, un pop-up aparecera para pedir una confirmacion sobre el certificado, en mi caso marco ambos y click en ok.



 C

****

Ahora es psible interceptar las peticiones a travez de ZAP, pronto les comparto mas detalles de las funcionalidades de esta poderosa herramienta.

ref: OWASP ZAP

Suscribirse a: Entradas (Atom)