ZAP Proxy Avanzado. - The Hacker Way

Bienvenido al curso de ZAP Proxy Avanzado!
En esta formación podrás ver el uso práctico de ZAP Proxy y todo su potencial. Aprenderás a gestionar adecuadamente los procesos de autenticación y autorización de forma automática para ejecutar pruebas. Aprenderás sobre la creación de scripts en las diferentes secciones disponibles en la herramienta. También se explicará en detalle una de las características más potentes en ZAP: El control de la herramienta por medio de su API Rest. Finalmente, podrás ver su uso práctico por medio de varias aplicaciones web vulnerables por diseño. Si este curso te resulta interesante, te recomiendo el curso de Hacking contra APIs REST ya que está orientado al hacking en aplicaciones web con APIs REST habilitadas utilizando herramientas como ZAP y Burp.
Las sesiones de esta formación las encontrarás a continuación:

Introducción, extensiones fundamentales y gestión de sesiones.

En este primer módulo de la formación se explica el uso de algunas de las extensiones más útiles disponibles en el marketplace de ZAP. Posteriormente, se explica la configuración de contextos para ejecutar los procesos de autenticación necesarios en las aplicaciones web que se encuentran vinculadas a dichos contextos. También se enseña el uso de la extensión “Access Control” para probar reglas de acceso rotas en los mecanismos de autorización.

Lecciones

1 – Introducción al curso 2 – Uso de extensiones fundamentales – Parte 1 3 – Uso de extensiones fundamentales – Parte 2 4 – Autenticación y gestión de sesiones – Parte 1 5 – Autenticación y gestión de sesiones – Parte 2 6 – Autenticación y gestión de sesiones – Parte 3 7 – Autenticación y gestión de sesiones – Parte 4

Scripting en ZAP.

En esta sección de la formación se enseñan los tipos de scripts que se pueden crear en ZAP y las diferencias entre cada uno de ellos. Se trata de una característica fundamental en ZAP a la hora de automatizar procesos de pentesting web.

Lecciones

8 – Introducción al scripting en ZAP 9 – Creación de scripts Stand Alone en ZAP – Parte 1 10 – Creación de scripts Stand Alone en ZAP – Parte 2 11 – Creación de scripts Stand Alone en ZAP – Parte 3 12 – Creación de scripts Passive Rules en ZAP – Parte 1 13 – Creación de scripts Passive Rules en ZAP – Parte 2 14 – Creación de scripts ZEST en ZAP

Integración de ZAP con otras herramientas.

En esta tercera sección de la formación se describen las alternativas disponibles a la hora de integrar ZAP con otras herramientas de pentesting web habituales.

Lecciones

15 – Integración de ZAP con herramientas externas 16 – Integración de ZAP con Burp Proxy 17 – Integración de ZAP con Postman 18 – Integración de ZAP con Attack Surface Detector para pruebas SAST

Ejemplos prácticos de Hacking web con ZAP.

Ahora que se conocen las funciones disponibles en ZAP, es el momento de usar la herramienta en casos más complejos y orientados a aplicaciones web reales. Se comienza con una aplicación web sencilla que tiene vulnerabilidades por diseño: DVWA (Damn Vulnerable Web Application). A continuación, se explora otra aplicación mucho más interesante y práctica: Juicy Shop.

Lecciones

19 – Preparación de un entorno de pruebas completo 20 – Ejemplo práctico: DVWA – Parte 1 21 – Ejemplo práctico: DVWA – Parte 2 22 – Ejemplo práctico: JuicyShop – Parte 1 23 – Ejemplo práctico: JuicyShop – Parte 2 24 – Ejemplo práctico: JuicyShop – Parte 3

Uso programático de la API Rest de ZAP.

Para finalizar la formación, se explica el uso de la API Rest de ZAP y los endpoints disponibles. Esta característica permite la creación de scripts en diferentes lenguajes de programación para automatizar la interacción con ZAP. Como se podrá apreciar, todas las opciones disponibles en la interfaz grafica de ZAP se pueden utilizar desde un script utilizando la API Rest de la herramienta.

Lecciones

25 – Introducción y configuración de la API Rest de ZAP 26 – Ejecución de escaneos pásivos usando la API Rest de ZAP 27 – Ejecución de escaneos activos usando la API Rest de ZAP 28 – Automatización de contextos y autenticación con la API Rest de ZAP 29 – Conclusiones y recomendaciones

RECURSOS: CURSO ZAP AVANZADO

RECURSOS DE LA FORMACIÓN

Lecciones

Diapositivas y recursos