Uso de la Herramienta OWASP ZAP

Análisis pasivo de un sitio Web: Ataques de fuerza bruta con ZAP

El análisis pasivo mediante ZAP nos permite navegar por el sitio Web como si fuésemos un
usuario más del sitio y, posteriormente, realizar pruebas de penetración sobre las diferentes
partes que hemos visitado. Para ello ZAP creará un proxy en nuestro equipo local. Podemos
modificar los parámetros del proxy (como el puerto) yendo al botón de configuración (rueda
dentada) y seleccionando el menú Proxy Local. Una vez configurado a nuestro gusto deberemos
configurar nuestro navegador con el proxy localhost y el puerto que hayamos elegido,
normalmente el 8080.

Una vez tenemos todo funcionando, si empezamos a navegar por un sitio Web con el navegador,
veremos que todas nuestras consultas van quedando reflejadas dentro de ZAP y que podemos
consultarlas, modificarlas, etc. Igual que si hubiésemos hecho un análisis activo. La ventaja es
obviamente que generaremos mucho menos ruido que con el ataque activo.

Para nuestro ejemplo de fuerza bruta vamos a colocarnos sobre una de las peticiones de tipo
POST que se han hecho en un formulario de login, pulsaremos con el botón derecho y dentro
del mismo iremos a la opción Atacar>Fuzz.

A continuación se nos abrirá una ventana donde podemos ver los detalles de la petición y la
respuesta. Para nuestro primer ejemplo vamos a intentar un ataque de fuerza bruta contra el
campo “pwd” correspondiente al password del usuario, así que elegiremos el valor que se ha
enviado en la petición y nos iremos al botón “Add” para añadir un diccionario que pruebe en
lugar del valor.
Como se observa que hay varios de diccionarios ya creados, algunos son, por ejemplo sentencias
SQLi o ataques XSS de forma que podamos probar toda una batería de combinaciones contra el
campo. En nuestro caso y como vamos a hacer un ataque de fuerza bruta elegiremos un
diccionario propio que contenga diferentes tipos de contraseñas.
Así pues la diferencia a la hora de lanzar un ataque de tipo fuerza bruta, XSS o SQLi será
únicamente el diccionario que elijamos, además ZAP viene con un montón de diccionarios ya
creados para estos fines que podéis utilizar. Una vez elegido el diccionario que queramos
pulsamos añadir y damos sobre el botón Start Fuzzer.

Ahora, ZAP empezará a repetir la petición inicial pero sustituyendo el campo que hemos
seleccionado anteriormente por cada una de las combinaciones que disponga nuestro
diccionario. En la parte inferior de ZAP podemos ver todas las peticiones y el resultado de la
misma, además, si pulsamos sobre ella podemos ver en la parte superior los detalles de la
petición y la respuesta. Para ver qué intentos de contraseña han tenido éxito una buena
estrategia es fijarnos en el tamaño de la respuesta de cada petición. Si nosotros vemos que al
hacer una petición con una contraseña errónea el servidor nos envía respuestas de 3,29Kb y de
repente vemos que en una de esas peticiones la respuesta es de un tamaño distinto quiere decir
que el servidor ha respondido otra cosa, es decir que probablemente la haya aceptado.

En este ejemplo podemos ver que se ha obtenido un resultado diferente con la contraseña
“cursoowasp” que es la correcta.