OWASP ZAP (Zed Attack Proxy) es una herramienta de código abierto diseñada para encontrar vulnerabilidades en aplicaciones web. En esta sección, aprenderemos cómo instalar y configurar OWASP ZAP para comenzar a utilizarlo en nuestras pruebas de seguridad.

Antes de comenzar con la instalación de OWASP ZAP, asegúrate de cumplir con los siguientes requisitos:

1. Java Runtime Environment (JRE): OWASP ZAP está escrito en Java, por lo que necesitarás tener instalado JRE en tu sistema.
2. Privilegios de Administrador: Algunos pasos de la instalación pueden requerir permisos de administrador.

1. Visita la página oficial de OWASP ZAP.
2. Selecciona la versión adecuada para tu sistema operativo (Windows, macOS, Linux).
3. Descarga el archivo de instalación.

En Windows

1. Ejecuta el archivo .exe descargado.
2. Sigue las instrucciones del asistente de instalación.
3. Acepta los términos y condiciones.
4. Selecciona el directorio de instalación.
5. Completa la instalación.

En macOS

1. Abre el archivo .dmg descargado.
2. Arrastra el ícono de ZAP a la carpeta de Aplicaciones.
3. Abre la aplicación desde la carpeta de Aplicaciones.

En Linux

1. Descarga el archivo .tar.gz.
2. Abre una terminal y navega al directorio donde descargaste el archivo.
3. Ejecuta los siguientes comandos:

1. Abre OWASP ZAP desde el menú de aplicaciones o ejecutando el comando zap.sh en Linux.
2. La primera vez que inicies ZAP, se te pedirá que configures algunas opciones básicas.

OWASP ZAP funciona como un proxy entre tu navegador y la aplicación web que estás probando. Para configurarlo:

1. Abre OWASP ZAP.
2. Ve a Tools > Options.
3. En la sección Local Proxy, asegúrate de que la dirección IP y el puerto estén configurados correctamente (por defecto, es 127.0.0.1:8080).

Para que tu navegador utilice OWASP ZAP como proxy:

1. Abre las configuraciones de red de tu navegador.
2. Configura el proxy manualmente con la dirección IP 127.0.0.1 y el puerto 8080.

Para interceptar el tráfico HTTPS, necesitas importar el certificado de ZAP en tu navegador:

1. En OWASP ZAP, ve a Tools > Options.
2. En la sección Dynamic SSL Certificates, haz clic en Generate para crear un nuevo certificado.
3. Haz clic en Save para guardar el certificado en tu sistema.
4. Importa el certificado en tu navegador (las instrucciones varían según el navegador).

1. En OWASP ZAP, ve a Tools > Options.
2. En la sección Active Scan, configura las opciones de escaneo según tus necesidades (por ejemplo, el nivel de agresividad del escaneo).

1. Abre tu navegador y configura el proxy para que apunte a 127.0.0.1:8080.

1. Navega por la aplicación web que deseas escanear. OWASP ZAP interceptará y registrará todas las solicitudes y respuestas.

1. En OWASP ZAP, selecciona la aplicación web en la pestaña Sites.
2. Haz clic derecho y selecciona Attack > Active Scan.
3. Configura las opciones del escaneo y haz clic en Start Scan.

1. Una vez completado el escaneo, revisa los resultados en la pestaña Alerts.
2. Analiza las vulnerabilidades encontradas y toma las medidas necesarias para corregirlas.

Ejercicio: Configuración de OWASP ZAP y Escaneo de una Aplicación Web

1. Instala OWASP ZAP siguiendo los pasos descritos anteriormente.
2. Configura el proxy en tu navegador para que apunte a 127.0.0.1:8080.
3. Importa el certificado de ZAP en tu navegador.
4. Navega por una aplicación web de prueba (puedes usar OWASP Juice Shop como ejemplo).
5. Inicia un escaneo activo de la aplicación web desde OWASP ZAP.
6. Revisa los resultados y documenta al menos tres vulnerabilidades encontradas.

1. Instalación de OWASP ZAP:

   • Descargué el archivo de instalación desde la página oficial.
   • Seguí las instrucciones del asistente de instalación.

2. Configuración del Proxy:

   • Configuré el proxy en mi navegador para que apunte a 127.0.0.1:8080.

3. Importación del Certificado:

   • Generé y guardé el certificado desde OWASP ZAP.
   • Importé el certificado en mi navegador siguiendo las instrucciones específicas para mi navegador.

4. Navegación por la Aplicación Web:

   • Navegué por OWASP Juice Shop mientras OWASP ZAP interceptaba el tráfico.

5. Escaneo Activo:

   • Inicié un escaneo activo desde OWASP ZAP y configuré las opciones de escaneo.

6. Revisión de Resultados:

   • Revisé los resultados en la pestaña Alerts y documenté las siguientes vulnerabilidades:
     • Inyección SQL: Encontrada en el formulario de inicio de sesión.
     • Cross-Site Scripting (XSS): Encontrada en el campo de comentarios.
     • Exposición de Datos Sensibles: Información de usuario expuesta en la respuesta de una API.

En esta sección, hemos aprendido cómo instalar y configurar OWASP ZAP, una herramienta esencial para la seguridad de aplicaciones web. Hemos cubierto desde la descarga e instalación hasta la configuración del proxy y la importación de certificados. Además, hemos realizado un ejercicio práctico para reforzar los conceptos aprendidos. Con OWASP ZAP correctamente configurado, estarás listo para identificar y mitigar vulnerabilidades en tus aplicaciones web.