SlideShare una empresa de Scribd logo

HoneyCon 2020: Hacking con ZAP

D
Dani Adastra

Charla online en el evento HoneyCon 2020

Tecnología
1 de 16
 Generar la CA de ZAP e importarla en el navegador web que se va a utilizar. Detalles de configuración iniciales.
Si utilizas Firefox y las pruebas se realizan en local hay que habilitar la opción “network.proxy.allow_hijacking_localhost” para que el proxy pueda capturar las peticiones hacia localhost.  Detalles de configuración iniciales.
 Ajustes de la JVM antes de lanzar ZAP.  ¿De qué manera voy a utilizar ZAP? ¿Como proxy local o como servidor de pruebas para lanzar escaneos por parte de un equipo de pentesters?  Ajustes de la memoria con las opciones  -Xms: Memoria inicial para la heap.  -Xmx: Memoria maxima para la heap.  Selección del GC adecuado dependiendo de la versión concreta de JVM:  Serial: -XX:+UseSerialGC  Parallel: -XX:+UseParallelGC  CMS (Deprecado desde Java 9): -XX:+UseConcMarkSweepGC  G1: -XX:+UseG1GC  ZGC (Disponible desde Java 11): -XX:UseZGC Detalles de configuración iniciales.
 Crear un nuevo contexto para el o los dominios que se pretende auditar.  Si la aplicación web incluye cabeceras especiales, éstas deben incluirse a nivel de contexto para que sean replicadas en todas las peticiones HTTP que realice ZAP.  Es recomendable recomendable realizar algunos ajustes en ZAP para conexiones SSL contra algunos sitios, especialmente aquellos que utilizan SSLv2.  Tools → Options… → Connection → SSLv2Hello  Tools → Options… → Client Certificate → Enable unsafe SSL/TLS renegotiation  Ver para más información: https://github.com/zaproxy/zaproxy/wiki/FAQsslHandshake  Resulta conveniente excluir del proxy cualquier otra navegación hacia sitios externos. solo interesa la navegación contra el sitio web a auditar.  Contexts → Default Context → Exclude from Proxy → Add...  ^(?:(?!http://SITIO_AUDITADO:PUERTO).*).$  ^(?:(?!https://SITIO_AUDITADO:PUERTO).*).$  Es recomendable guardar todos estos detalles de configuración en una sesión de ZAP para no tener que volver a aplicarlos cada vez que se inicia la herramienta. Detalles de configuración iniciales.
 Por defecto, cualquier actividad realizada por ZAP (Spidering o Scan) ejecuta lo que se conoce como un “escaneo pasivo” el cual se basa en un conjunto de reglas que vienen incluidas directamente en el framework.  Dicho escaneo pasivo simplemente se encarga de analizar las respuestas emitidas por el servidor, las cuales pueden ser provocadas por las peticiones que se realizan desde el modo “spider” de ZAP.  En éste modo se pueden producir alertas, las cuales se pueden recuperar fácilmente en el módulo de resultados de ZAP o programáticamente utilizando la API.  Las alertas contienen atributos que son comunes en los escaneos activos o en los procesos de spidering, incluyendo entre otras cosas: severidad, cweid, URL, descripción, etc. ZAP Passive Scanning
 En éste modo, ZAP habilita las reglas de ataque y a diferencia del escaneo pasivo, se encarga de manipular las peticiones enviadas al servidor y analizar las respuestas.  Se basa en un conjunto de políticas de escaneo que vienen incluidas directamente en la herramienta y que se encargan de ejecutar múltiples pruebas contra los objetivos especificados.  Tanto en el escaneo pasivo como en el activo, se encarga de generar un conjunto de alarmas indicando las posibles vulnerabilidades detectadas en la aplicación web. ZAP Active Scanning
 ZAP cuenta con un sistema de extensiones para personalizar el comportamiento de la herramienta y extenderla. Algunas de las extensiones más interesantes son:  Python and Ruby Scripting: Permite la ejecución de scripts en Python y Ruby dentro de ZAP.  Tree Tools: Funcionalidades añadidas a la vista en árbol de contextos.  Access Control Testing: Herramientas para probar controles de acceso en aplicaciones web.  All In One Notes: Extensión para mantener las notas en un panel separado.  Community Scripts: Scripts diseñados por la comunidad con utilidades interesantes.  CustomReport: Personalización de reportes HTML  ExportReport: Permite personalizar el contenido de los reportes y exportarlos en el formato elegido.  WAFP: Permite realizar fingetprint de aplicaciones web.  Requester: Panel que permite realizar peticiones HTTP manualmente. ZAP AddOns
ZAP AddOns
 La herramienta permite ejecutar ataques de Fuzzing contra un recurso concreto utilizando diferentes tipos de payloads, desde rangos de números o letras hasta ficheros con entradas.  ZAP incluye los ficheros incluidos en los proyectos “jbrofuzz” y “dirbuster” de esta forma es posible seleccionar múltiples tipos ficheros para pruebas. ZAP Fuzzing
 Zest es un lenguaje de scripting desarrollado por el equipo de seguridad de Mozilla que se enfoca principalmente al mundo de las aplicaciones web y el registro de las peticiones que se realizan contra ellas.  Zest se encuentra integrado en ZAP en forma de complemento, el cual viene habilitado por defecto.  Un script en Zest creado desde ZAP Proxy estará compuesto por un conjunto de peticiones que se han realizado previamente justo en el momento en el que se inicia la “grabación” de dicho script.  Es posible incluir acciones de “Zest” durante el flujo de las peticiones HTTP y de ésta forma, realizar pruebas de penetración sobre secciones concretas de la aplicación web o incluso depurar las respuestas recibidas por parte del servidor. Zest scripting
 ZAP puede ejecutarse en modo “headless” con la opción “-daemon” lo que le permite a la herramienta ejecutarse como un servicio en segundo plano.  ZAP cuenta con una API Rest que permite interactuar con el servicio de forma programática utilizando los endpoints disponibles.  Existen clientes para consumir dicha API escritos en Python y Java.  La API Rest de ZAP se puede configurar fácilmente en:  Tools → Options… → API ZAP – API Rest.
HoneyCon 2020: Hacking con ZAP

Recomendados

Experiencia en el uso de software libre en administración de sistemas
Experiencia en el uso de software libre en administración de sistemasExperiencia en el uso de software libre en administración de sistemas
Experiencia en el uso de software libre en administración de sistemasDario
 
N i-k-t-o
N i-k-t-oN i-k-t-o
N i-k-t-oRafael Ibarra Alvarez
 
Zabbix
ZabbixZabbix
ZabbixTensor
 
Rendimiento extremo en php
Rendimiento extremo en phpRendimiento extremo en php
Rendimiento extremo en phpFrancisco Javier Vazquez Umbria
 
Configurar snmp en cisco
Configurar snmp en ciscoConfigurar snmp en cisco
Configurar snmp en ciscochulver
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxysuperserch
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de OwaspULSELSALVADOR
 
Fail2 ban
Fail2 banFail2 ban
Fail2 banyaneli14
 

Recomendados

Experiencia en el uso de software libre en administración de sistemas
Experiencia en el uso de software libre en administración de sistemasExperiencia en el uso de software libre en administración de sistemas
Experiencia en el uso de software libre en administración de sistemasDario
 
N i-k-t-o
N i-k-t-oN i-k-t-o
N i-k-t-oRafael Ibarra Alvarez
 
Zabbix
ZabbixZabbix
ZabbixTensor
 
Rendimiento extremo en php
Rendimiento extremo en phpRendimiento extremo en php
Rendimiento extremo en phpFrancisco Javier Vazquez Umbria
 
Configurar snmp en cisco
Configurar snmp en ciscoConfigurar snmp en cisco
Configurar snmp en ciscochulver
 
Zed Attack Proxy
Zed Attack ProxyZed Attack Proxy
Zed Attack Proxysuperserch
 
Taller de Owasp
Taller de OwaspTaller de Owasp
Taller de OwaspULSELSALVADOR
 
Fail2 ban
Fail2 banFail2 ban
Fail2 banyaneli14
 
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10Víctor Leonel Orozco López
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Víctor Leonel Orozco López
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Víctor Leonel Orozco López
 
Fail2 ban
Fail2 banFail2 ban
Fail2 banyaneli14
 
PeruHack 2014 - Post Explotacion en Entornos Windows
PeruHack 2014 - Post Explotacion en Entornos WindowsPeruHack 2014 - Post Explotacion en Entornos Windows
PeruHack 2014 - Post Explotacion en Entornos WindowsMauricio Velazco
 
Overview atlas (1)
Overview atlas (1)Overview atlas (1)
Overview atlas (1)Marta Alfonso Aller
 
Ataques a bases de datos
Ataques a bases de datosAtaques a bases de datos
Ataques a bases de datosFernando Hernandez
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webDani Adastra
 
Zenmap
ZenmapZenmap
Zenmapxwilberhp
 
C:\Fakepath\Dm Trejo Produccion De Recursos[1]
C:\Fakepath\Dm Trejo Produccion De Recursos[1]C:\Fakepath\Dm Trejo Produccion De Recursos[1]
C:\Fakepath\Dm Trejo Produccion De Recursos[1]Dulce trejo
 
ZENMAP
ZENMAPZENMAP
ZENMAPcesartg65
 
Present3
Present3Present3
Present3Rafael Cornejo Martinez
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebasTensor
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebasTensor
 
Spring Fácil: Cambios en el framework con Spring Boot
Spring Fácil: Cambios en el framework con Spring BootSpring Fácil: Cambios en el framework con Spring Boot
Spring Fácil: Cambios en el framework con Spring BootBelatrix Software
 
Exposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbixExposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbixFlechaVeloz1
 
Manual de instalacion del sistema fundageo
Manual de instalacion del sistema fundageoManual de instalacion del sistema fundageo
Manual de instalacion del sistema fundageoCecy Villalta
 
Web application firewall
Web application firewallWeb application firewall
Web application firewallMiguel Angel López Moyano
 
Microservicios sobre MEAN Stack
Microservicios sobre MEAN StackMicroservicios sobre MEAN Stack
Microservicios sobre MEAN StackPedro J. Molina
 
Opensouthcode: Microservicios sobre MEAN Stack
Opensouthcode: Microservicios sobre MEAN StackOpensouthcode: Microservicios sobre MEAN Stack
Opensouthcode: Microservicios sobre MEAN StackPedro J. Molina
 
Barracuda mvc
Barracuda mvcBarracuda mvc
Barracuda mvcLuis Angel Martinez
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Alonso Caballero
 

Más contenido relacionado

La actualidad más candente

Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10Víctor Leonel Orozco López
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Víctor Leonel Orozco López
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Víctor Leonel Orozco López
 
PeruHack 2014 - Post Explotacion en Entornos Windows
PeruHack 2014 - Post Explotacion en Entornos WindowsPeruHack 2014 - Post Explotacion en Entornos Windows
PeruHack 2014 - Post Explotacion en Entornos WindowsMauricio Velazco
 

La actualidad más candente (7)

Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
 
Fail2 ban
Fail2 banFail2 ban
Fail2 ban
 
PeruHack 2014 - Post Explotacion en Entornos Windows
PeruHack 2014 - Post Explotacion en Entornos WindowsPeruHack 2014 - Post Explotacion en Entornos Windows
PeruHack 2014 - Post Explotacion en Entornos Windows
 
Overview atlas (1)
Overview atlas (1)Overview atlas (1)
Overview atlas (1)
 
Ataques a bases de datos
Ataques a bases de datosAtaques a bases de datos
Ataques a bases de datos
 

Similar a HoneyCon 2020: Hacking con ZAP

IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webDani Adastra
 
C:\Fakepath\Dm Trejo Produccion De Recursos[1]
C:\Fakepath\Dm Trejo Produccion De Recursos[1]C:\Fakepath\Dm Trejo Produccion De Recursos[1]
C:\Fakepath\Dm Trejo Produccion De Recursos[1]Dulce trejo
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebasTensor
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebasTensor
 
Spring Fácil: Cambios en el framework con Spring Boot
Spring Fácil: Cambios en el framework con Spring BootSpring Fácil: Cambios en el framework con Spring Boot
Spring Fácil: Cambios en el framework con Spring BootBelatrix Software
 
Exposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbixExposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbixFlechaVeloz1
 
Manual de instalacion del sistema fundageo
Manual de instalacion del sistema fundageoManual de instalacion del sistema fundageo
Manual de instalacion del sistema fundageoCecy Villalta
 
Microservicios sobre MEAN Stack
Microservicios sobre MEAN StackMicroservicios sobre MEAN Stack
Microservicios sobre MEAN StackPedro J. Molina
 
Opensouthcode: Microservicios sobre MEAN Stack
Opensouthcode: Microservicios sobre MEAN StackOpensouthcode: Microservicios sobre MEAN Stack
Opensouthcode: Microservicios sobre MEAN StackPedro J. Molina
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Alonso Caballero
 
Programación en Internet
Programación en InternetProgramación en Internet
Programación en InternetFernando Solis
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitationTensor
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONTensor
 

Similar a HoneyCon 2020: Hacking con ZAP (20)

IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
 
Zenmap
ZenmapZenmap
Zenmap
 
C:\Fakepath\Dm Trejo Produccion De Recursos[1]
C:\Fakepath\Dm Trejo Produccion De Recursos[1]C:\Fakepath\Dm Trejo Produccion De Recursos[1]
C:\Fakepath\Dm Trejo Produccion De Recursos[1]
 
ZENMAP
ZENMAPZENMAP
ZENMAP
 
Present3
Present3Present3
Present3
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebas
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebas
 
Spring Fácil: Cambios en el framework con Spring Boot
Spring Fácil: Cambios en el framework con Spring BootSpring Fácil: Cambios en el framework con Spring Boot
Spring Fácil: Cambios en el framework con Spring Boot
 
Exposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbixExposicion plataforma de monitoreo zabbix
Exposicion plataforma de monitoreo zabbix
 
Manual de instalacion del sistema fundageo
Manual de instalacion del sistema fundageoManual de instalacion del sistema fundageo
Manual de instalacion del sistema fundageo
 
Web application firewall
Web application firewallWeb application firewall
Web application firewall
 
Microservicios sobre MEAN Stack
Microservicios sobre MEAN StackMicroservicios sobre MEAN Stack
Microservicios sobre MEAN Stack
 
Opensouthcode: Microservicios sobre MEAN Stack
Opensouthcode: Microservicios sobre MEAN StackOpensouthcode: Microservicios sobre MEAN Stack
Opensouthcode: Microservicios sobre MEAN Stack
 
Barracuda mvc
Barracuda mvcBarracuda mvc
Barracuda mvc
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
 
Turbogears
TurbogearsTurbogears
Turbogears
 
Programación en Internet
Programación en InternetProgramación en Internet
Programación en Internet
 
Springboot Overview
Springboot OverviewSpringboot Overview
Springboot Overview
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 

Más de Dani Adastra

ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonDani Adastra
 
Malt 2020: Ciberseguridad en la empresa
Malt 2020: Ciberseguridad en la empresaMalt 2020: Ciberseguridad en la empresa
Malt 2020: Ciberseguridad en la empresaDani Adastra
 
IntelCon 2020: OSINT en la Deep web de TOR
IntelCon 2020: OSINT en la Deep web de TORIntelCon 2020: OSINT en la Deep web de TOR
IntelCon 2020: OSINT en la Deep web de TORDani Adastra
 
HackMadrid 2020: Introducción práctica al RedTeam
HackMadrid 2020: Introducción práctica al RedTeamHackMadrid 2020: Introducción práctica al RedTeam
HackMadrid 2020: Introducción práctica al RedTeamDani Adastra
 
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red TeamXIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red TeamDani Adastra
 
8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeamDani Adastra
 
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"Dani Adastra
 
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..Dani Adastra
 
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...Dani Adastra
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonDani Adastra
 
UAH 2018: Hacking en la deep web de TOR (for fun and profit)
UAH 2018: Hacking en la deep web de TOR (for fun and profit)UAH 2018: Hacking en la deep web de TOR (for fun and profit)
UAH 2018: Hacking en la deep web de TOR (for fun and profit)Dani Adastra
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonDani Adastra
 
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...Dani Adastra
 
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Dani Adastra
 
HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.
HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.
HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.Dani Adastra
 
8dot8 2015: Desmitificando la deep web de TOR - pentesting sobre instancias d...
8dot8 2015: Desmitificando la deep web de TOR - pentesting sobre instancias d...8dot8 2015: Desmitificando la deep web de TOR - pentesting sobre instancias d...
8dot8 2015: Desmitificando la deep web de TOR - pentesting sobre instancias d...Dani Adastra
 
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Dani Adastra
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Dani Adastra
 

Más de Dani Adastra (18)

ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con Python
 
Malt 2020: Ciberseguridad en la empresa
Malt 2020: Ciberseguridad en la empresaMalt 2020: Ciberseguridad en la empresa
Malt 2020: Ciberseguridad en la empresa
 
IntelCon 2020: OSINT en la Deep web de TOR
IntelCon 2020: OSINT en la Deep web de TORIntelCon 2020: OSINT en la Deep web de TOR
IntelCon 2020: OSINT en la Deep web de TOR
 
HackMadrid 2020: Introducción práctica al RedTeam
HackMadrid 2020: Introducción práctica al RedTeamHackMadrid 2020: Introducción práctica al RedTeam
HackMadrid 2020: Introducción práctica al RedTeam
 
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red TeamXIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team
XIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team
 
8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam8dot8 SUR 2020: Introducción práctica al RedTeam
8dot8 SUR 2020: Introducción práctica al RedTeam
 
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
 
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
 
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con Python
 
UAH 2018: Hacking en la deep web de TOR (for fun and profit)
UAH 2018: Hacking en la deep web de TOR (for fun and profit)UAH 2018: Hacking en la deep web de TOR (for fun and profit)
UAH 2018: Hacking en la deep web de TOR (for fun and profit)
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con Python
 
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
 
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
 
HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.
HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.
HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.
 
8dot8 2015: Desmitificando la deep web de TOR - pentesting sobre instancias d...
8dot8 2015: Desmitificando la deep web de TOR - pentesting sobre instancias d...8dot8 2015: Desmitificando la deep web de TOR - pentesting sobre instancias d...
8dot8 2015: Desmitificando la deep web de TOR - pentesting sobre instancias d...
 
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
 

Último

Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 

Último (20)

Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 

HoneyCon 2020: Hacking con ZAP

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.  Generar la CA de ZAP e importarla en el navegador web que se va a utilizar. Detalles de configuración iniciales.
  • 6. Si utilizas Firefox y las pruebas se realizan en local hay que habilitar la opción “network.proxy.allow_hijacking_localhost” para que el proxy pueda capturar las peticiones hacia localhost.  Detalles de configuración iniciales.
  • 7.  Ajustes de la JVM antes de lanzar ZAP.  ¿De qué manera voy a utilizar ZAP? ¿Como proxy local o como servidor de pruebas para lanzar escaneos por parte de un equipo de pentesters?  Ajustes de la memoria con las opciones  -Xms: Memoria inicial para la heap.  -Xmx: Memoria maxima para la heap.  Selección del GC adecuado dependiendo de la versión concreta de JVM:  Serial: -XX:+UseSerialGC  Parallel: -XX:+UseParallelGC  CMS (Deprecado desde Java 9): -XX:+UseConcMarkSweepGC  G1: -XX:+UseG1GC  ZGC (Disponible desde Java 11): -XX:UseZGC Detalles de configuración iniciales.
  • 8.  Crear un nuevo contexto para el o los dominios que se pretende auditar.  Si la aplicación web incluye cabeceras especiales, éstas deben incluirse a nivel de contexto para que sean replicadas en todas las peticiones HTTP que realice ZAP.  Es recomendable recomendable realizar algunos ajustes en ZAP para conexiones SSL contra algunos sitios, especialmente aquellos que utilizan SSLv2.  Tools → Options… → Connection → SSLv2Hello  Tools → Options… → Client Certificate → Enable unsafe SSL/TLS renegotiation  Ver para más información: https://github.com/zaproxy/zaproxy/wiki/FAQsslHandshake  Resulta conveniente excluir del proxy cualquier otra navegación hacia sitios externos. solo interesa la navegación contra el sitio web a auditar.  Contexts → Default Context → Exclude from Proxy → Add...  ^(?:(?!http://SITIO_AUDITADO:PUERTO).*).$  ^(?:(?!https://SITIO_AUDITADO:PUERTO).*).$  Es recomendable guardar todos estos detalles de configuración en una sesión de ZAP para no tener que volver a aplicarlos cada vez que se inicia la herramienta. Detalles de configuración iniciales.
  • 9.  Por defecto, cualquier actividad realizada por ZAP (Spidering o Scan) ejecuta lo que se conoce como un “escaneo pasivo” el cual se basa en un conjunto de reglas que vienen incluidas directamente en el framework.  Dicho escaneo pasivo simplemente se encarga de analizar las respuestas emitidas por el servidor, las cuales pueden ser provocadas por las peticiones que se realizan desde el modo “spider” de ZAP.  En éste modo se pueden producir alertas, las cuales se pueden recuperar fácilmente en el módulo de resultados de ZAP o programáticamente utilizando la API.  Las alertas contienen atributos que son comunes en los escaneos activos o en los procesos de spidering, incluyendo entre otras cosas: severidad, cweid, URL, descripción, etc. ZAP Passive Scanning
  • 10.  En éste modo, ZAP habilita las reglas de ataque y a diferencia del escaneo pasivo, se encarga de manipular las peticiones enviadas al servidor y analizar las respuestas.  Se basa en un conjunto de políticas de escaneo que vienen incluidas directamente en la herramienta y que se encargan de ejecutar múltiples pruebas contra los objetivos especificados.  Tanto en el escaneo pasivo como en el activo, se encarga de generar un conjunto de alarmas indicando las posibles vulnerabilidades detectadas en la aplicación web. ZAP Active Scanning
  • 11.  ZAP cuenta con un sistema de extensiones para personalizar el comportamiento de la herramienta y extenderla. Algunas de las extensiones más interesantes son:  Python and Ruby Scripting: Permite la ejecución de scripts en Python y Ruby dentro de ZAP.  Tree Tools: Funcionalidades añadidas a la vista en árbol de contextos.  Access Control Testing: Herramientas para probar controles de acceso en aplicaciones web.  All In One Notes: Extensión para mantener las notas en un panel separado.  Community Scripts: Scripts diseñados por la comunidad con utilidades interesantes.  CustomReport: Personalización de reportes HTML  ExportReport: Permite personalizar el contenido de los reportes y exportarlos en el formato elegido.  WAFP: Permite realizar fingetprint de aplicaciones web.  Requester: Panel que permite realizar peticiones HTTP manualmente. ZAP AddOns
  • 13.  La herramienta permite ejecutar ataques de Fuzzing contra un recurso concreto utilizando diferentes tipos de payloads, desde rangos de números o letras hasta ficheros con entradas.  ZAP incluye los ficheros incluidos en los proyectos “jbrofuzz” y “dirbuster” de esta forma es posible seleccionar múltiples tipos ficheros para pruebas. ZAP Fuzzing
  • 14.  Zest es un lenguaje de scripting desarrollado por el equipo de seguridad de Mozilla que se enfoca principalmente al mundo de las aplicaciones web y el registro de las peticiones que se realizan contra ellas.  Zest se encuentra integrado en ZAP en forma de complemento, el cual viene habilitado por defecto.  Un script en Zest creado desde ZAP Proxy estará compuesto por un conjunto de peticiones que se han realizado previamente justo en el momento en el que se inicia la “grabación” de dicho script.  Es posible incluir acciones de “Zest” durante el flujo de las peticiones HTTP y de ésta forma, realizar pruebas de penetración sobre secciones concretas de la aplicación web o incluso depurar las respuestas recibidas por parte del servidor. Zest scripting
  • 15.  ZAP puede ejecutarse en modo “headless” con la opción “-daemon” lo que le permite a la herramienta ejecutarse como un servicio en segundo plano.  ZAP cuenta con una API Rest que permite interactuar con el servicio de forma programática utilizando los endpoints disponibles.  Existen clientes para consumir dicha API escritos en Python y Java.  La API Rest de ZAP se puede configurar fácilmente en:  Tools → Options… → API ZAP – API Rest.