Agradecemos tu apoyo para compartir nuestras crónicas con relación a las ciencias de la computación.
Solución:
Para encontrar vulnerabilidades en la aplicación solo API (no tiene una aplicación web y solo tiene acceso a su API REST), puede configurar proxies en Postman y ejecutar OAuth y otras invocaciones de API REST y solicitudes de red pasan por el mismo proxy que ZAP está configurado para interceptar.
Si tiene una aplicación web, puede configurar su navegador como proxy para que cualquier URL por la que navegue pase por un servidor proxy que ZAP pueda interceptar.
Pasos
Generar un certificado raíz en zap para importar al navegador/Cartero (si está probando una API). Ir Herramientas > Opciones > Certificados SSL dinámicos y guárdelo localmente.
Importe el certificado al navegador/Cartero (le sugiero que use otro navegador únicamente para esto que el que usa actualmente para fines generales. Hace que sea más fácil no meterse con su configuración actual. Por lo general, prefiero Mozilla para esto, ya que uso Chrome para uso general)
Para firefox ir a about:preferences
url y seleccione Privacidad y seguridad y elija certificados
Vaya a Autoridades para importar el certificado que guardó en el paso 1
Si está probando solo para api y no tiene una aplicación web y usa Cartero para realizar una solicitud, guarde su certificado en Postman usando la pestaña de preferencias como se muestra a continuación
- Configure la URL del proxy de su navegador como se muestra a continuación. Puede ir a Configuración de red en su navegador para hacer esto usando
about:preferences
.
- Configure la herramienta Proxy local en ZAP usando Herramientas > Opciones > Proxy local
Ahora cualquier URL que navegue se registrará con una jerarquía completa. Esto aparece debajo de los Sitios como se muestra aquí.
Si su aplicación es solo una API, configure el proxy en Postman.
Utilice el cartero para realizar la solicitud y registrará la URL del ataque. Para OAuth 2.0, realice la Autenticación mediante la configuración de Postman.
Una cosa importante que debe verificar aquí es asegurarse de que Postman use el mismo proxy que el de la herramienta zap.
Puede configurar las preferencias como se explica en el siguiente artículo
https://learning.postman.com/docs/postman/sending-api-requests/proxy/
Si aún necesita personalizar uno, puede usar secuencias de comandos de autenticación en ZAP (generalmente no necesita esto hasta que tenga una autenticación compleja o quiera probar con encabezados específicos) y ZAP tiene secuencias de comandos comunitarias que cubren algunos ejemplos de casos de uso y secuencias de comandos aquí
Finalmente, para escanear o atacar con Spider la URL, todo lo que necesita hacer es hacer clic derecho y ejecutar el ataque como se muestra en la imagen a continuación.
Use la pestaña de informes para generar el informe ZAP que puede enviar al equipo de revisión de la Sec.
Recursos adicionales
El tutorial de configuración de ZAP de la ayuda de seguridad de Salesforce está aquí y los pasos para configurar están documentados aquí.
Tenga en cuenta que ZAP es gratuito y flexible y para personalizarlo puede leer los documentos
También ZAP tiene videos tutoriales aquí.
Si entiendes que te ha resultado de ayuda nuestro post, sería de mucha ayuda si lo compartieras con el resto entusiastas de la programación de este modo nos ayudas a extender nuestra información.