Bienvenido al curso de ZAP Proxy Avanzado!
En esta formación podrás ver el uso práctico de ZAP Proxy y todo su potencial. Aprenderás a gestionar adecuadamente los procesos de autenticación y autorización de forma automática para ejecutar pruebas. Aprenderás sobre la creación de scripts en las diferentes secciones disponibles en la herramienta. También se explicará en detalle una de las características más potentes en ZAP: El control de la herramienta por medio de su API Rest. Finalmente, podrás ver su uso práctico por medio de varias aplicaciones web vulnerables por diseño. Si este curso te resulta interesante, te recomiendo el curso de Hacking contra APIs REST ya que está orientado al hacking en aplicaciones web con APIs REST habilitadas utilizando herramientas como ZAP y Burp.
Las sesiones de esta formación las encontrarás a continuación:
ZAP Proxy Avanzado.
En este primer módulo de la formación se explica el uso de algunas de las extensiones más útiles disponibles en el marketplace de ZAP. Posteriormente, se explica la configuración de contextos para ejecutar los procesos de autenticación necesarios en las aplicaciones web que se encuentran vinculadas a dichos contextos. También se enseña el uso de la extensión “Access Control” para probar reglas de acceso rotas en los mecanismos de autorización.
En esta sección de la formación se enseñan los tipos de scripts que se pueden crear en ZAP y las diferencias entre cada uno de ellos. Se trata de una característica fundamental en ZAP a la hora de automatizar procesos de pentesting web.
En esta tercera sección de la formación se describen las alternativas disponibles a la hora de integrar ZAP con otras herramientas de pentesting web habituales.
Ahora que se conocen las funciones disponibles en ZAP, es el momento de usar la herramienta en casos más complejos y orientados a aplicaciones web reales. Se comienza con una aplicación web sencilla que tiene vulnerabilidades por diseño: DVWA (Damn Vulnerable Web Application). A continuación, se explora otra aplicación mucho más interesante y práctica: Juicy Shop.
Para finalizar la formación, se explica el uso de la API Rest de ZAP y los endpoints disponibles. Esta característica permite la creación de scripts en diferentes lenguajes de programación para automatizar la interacción con ZAP. Como se podrá apreciar, todas las opciones disponibles en la interfaz grafica de ZAP se pueden utilizar desde un script utilizando la API Rest de la herramienta.
