Advertisement

header ads

AUDITAR PAGINAS CON OWASP ZAP EN KALI LINUX

El otro día me había puesto un poco con owasp y de seguro si me sigues en mi instagram te habrás enterado sobre este tema.



Obviamente este método lo escribo en caso de intentar copiar y pegar la URL en la herramienta owasp zap y no logres hacer el escaneo. También quiero aclarar que te vas a encontrar servidores web que tienen protección y te van a llegar a bloquear la IP pero ese lo dejare para otro post si veo que la gente me ayuda a compartir.
Antes de empezar quiero que revises algunos post que había escrito con esta herramienta.  AQUÍ.
Otro link
Después de haber leído un poco de concepto y de haber conocido un poco de la herramienta, me falto explicar en el anterior post  una linda función de proxy que por default sería la conexión 127.0.0.1 y el puerto 8080-
Ahora vamos a nuestro navegador y vamos a “Preferences > advanced > Network > Settings > Manual Proxy.
Colocamos lo siguiente:

Luego de haber configurado eso podemos abrir owap y fijarte de los puertos en Tools > Options > Local Proxies.
Lograrás encontrar localhost y el numero de puerto.

Podemos modificarlo pero en caso de haberlo te recomiendo que también lo hagas en el navegador osea las dos tienen que ser las mismas.
Ahora vamos a ver cuando no hacemos esto y solo colocamos la URL.
Entonces me vas a frustrar en no hacer el escaneo, ahora la parte importante activar TOR Y PRIVOXY.
sudo /etc/init.d/privoxy start
sudo /etc/init.d/tor start
También no te olvides de configurar, tenes un lindo post aquí.
Ahora tenemos todo listo, y vamos abrir la URL en el navegador y automáticamente en owasp aparecerá la URL deseada, ahora vamos a empezar el escaneo con Attack > spider o Attack > Active Scan.
Tengo una ejemplo que use con TPX y CreadPag que son dos paginas que están con cloudflare.

Obviamente a creadpag nos bloqueo el escaneo y TPX termine el proceso y no encontré vulnerabilidades solo un par de info
No es nada interesante, pero así podes hacer y continuar tus auditorias. Para hacer sincero cuando owasp no me permitía hacer una auditoria recurría a VEGA y ahora conocen esto!
No te olvides en compartirlo y vamos a ver si la gente le gusta para publicar un siguiente post del bloqueo.

Publicar un comentario

0 Comentarios