06 diciembre 2010

Nueva versión de OWASP Zed Attack Proxy 1.1.0

Autor: José A. Guasch 06 diciembre 2010 [ 12:05 ]
Tras la muerte y descontinuidad de Paros Proxy, (los programadores se quisieron volcar en otra herramienta, antes que continuar la que tenían), programa de interceptación de peticiones HTTP que incluía un pequeño motor de detección de vulnerabilidades, apareció Zed Attack Proxy (también conocido como ZAP), hospedado como proyecto de OWASP. También contábamos con Andiparos, pero seguramente tanto Andiparos como ZAP formarán parte del mismo proyecto muy pronto. En esta ocasión, y para la nueva versión, Andiparos ha aportado la versión para la plataforma MacOS X.

Un ligero cambio de diseño (no es lo más importante), mejora de sus funcionalidades extras como son el filtrado de peticiones, enumeración de recursos y análisis de vulnerabilidades...realmente lo más importante es que porfin alguien haya rescatado el proyecto Paros Proxy y lo mantenga, además de aceptar nuevas ideas.


Y por ello, este Diciembre nos ha traido una nueva versión de ZAP, la 1.1.0, que incluye los siguientes cambios o aporta estas nuevas funcionalidades que comentamos a continuación (puedes consultar todas en este enlace):
  • Aceptación como proyecto OWASP, con todo lo que ello conlleva (es una gran noticia, sobretodo por la comunidad que hay detrás y que seguro puede aportar nuevas ideas)
  • Fuerza bruta para enumeración de recursos, basadandose en el otro proyecto de OWASP Dirbuster.
  • Soporte de smartcards, cada vez más webs soportan estos dispositivos como medio de autenticación, algo que nos alegra.
  • Posibilidad de escaneo de puertos desde el propio programa.
  • Soporte de nuevos lenguajes, incluye el español.
Nuevas pestañas que muestran las nuevas funcionalidades.
Estamos seguros de que con la llegada de este proyecto a formar parte de la comunidad OWASP, poco a poco conoceremos más funcionalidades que se vayan añadiendo, y que harán que esta herramienta no se conozca únicamente como se le conocía al Paros, el simple proxy para modificar peticiones escrito en Java.


[+] Página del proyecto Zed Attack Proxy en Google Code y en la wiki de OWASP.
[+] Novedades de Zed Attack Proxy 1.1.0
[+] Descarga ZAP 1.1.0 para Windows, Linux y MacOS X
Etiquetas: , ,

3 comments :

Anónimo dijo...

Que diferencia tiene este con webscarab? Por qué dos proyectos con mismo objetivo?

8 de diciembre de 2010, 2:42
José A. Guasch dijo...

@Anónimo, principalmente el hecho de que se observen actualizaciones importantes cada poco tiempo. Paros no se actualizaba, y los creadores se fueron por otro lado, Webscarab, a pesar de las Nightly Builds, tampoco es que se hayan anunciado grandes funcionalidades nuevas. En este mundillo surgen quince mil herramientas que en el fondo hacen "lo mismo", pero lo importante es ir aportando cosas (aunque sean trozos de otras herramientas) y conseguir poco a poco en no tener 13 herramientas abiertas durante el proceso de una auditoria o análisis, si no...simplemente..unas 3 o 4.

8 de diciembre de 2010, 11:37
Kuñao dijo...

Pues la verdad es que me han dado un alegrón.

El proyecto paros es una autentica máquina para sacar las verguenzas a toda web mal hecha.

10 de diciembre de 2010, 12:15

Publicar un comentario

Suscribirse a: Enviar comentarios ( Atom )