A la hora de analizar la seguridad de las aplicaciones web podemos encontrar una gran variedad de aplicaciones. Dentro de esta variedad, destacan especialmente dos alternativas: Burp Suite vs ZAP.
En este artículo vamos a repasar las cualidades de cada una de ellas para así saber elegir la que más se adapte a nuestras necesidades.
Introducción a la seguridad de apps
Desde hace años Internet es el motor del mundo moderno y nos encontramos usando páginas y aplicaciones web de forma continua en nuestro día a día, ya sea de forma personal o en el entorno de trabajo.
Debido a este uso masivo, la seguridad de estos elementos se torna imprescindible, por lo que necesitamos herramientas que nos ayuden a estudiar las posibles fallas que se pueden presentar.
Dentro del panorama del análisis de la seguridad informática podemos encontrar múltiples aplicaciones para realizar estas tareas, destacando dos de ellas: OWASP ZAP (abreviatura de Zed Attack Proxy) y Burp Suite.
Pero antes de analizar las características principales de ambas aplicaciones vamos a introducir qué son estas aplicaciones y el objetivo concreto que tienen. Burp Suite vs ZAP ¿Quién ganará?
¿Qué es el «pen testing»?
Cuando hablamos de aplicaciones para realizar “pen testing” o “test de penetración” nos referimos a aquellas aplicaciones que nos permiten atacar un sistema informático para identificar los posibles fallos, vulnerabilidades y diferentes errores de seguridad que existen.
Dentro de este conjunto de pruebas podemos encontrar tres tipos fundamentales:
– De caja blanca: en este tipo de ataque conocemos todos los detalles del sistema, la aplicación y la arquitectura. Es el tipo de prueba más completa ya que disponemos de toda la información de antemano.
– De caja negra: en este caso, al contrario que el anterior, no se tiene ningún conocimiento del sistema y se va “a ciegas”. Este tipo de prueba es la que más se asemeja a un ataque real.
– De caja gris: una fusión de los dos ataques anteriores donde se combinan los beneficios para una mayor efectividad.
Burp Suite vs ZAP
Llegados a este punto, sólo nos queda analizar ambas aplicaciones para saber cuál elegir en cada caso.
En primera instancia hay que recordar que OWASP ZAP es una herramienta libre, desarrollada por la comunidad y sin coste; mientras que para hacer uso de todas las opciones de Burp Suite deberemos abonar una cuota mensual (aunque existe una versión “Community” con funciones recortadas).
Esta diferencia puede suponer la elección de un software u otro, sobre todo si se trata de un experto en seguridad independiente o un estudiante que se está adentrando en el mundo de la seguridad por primera vez.
Pero dejando a un lado el factor económico, ambas herramientas son muy similares y podemos encontrar las funcionalidades más importantes replicadas en ambas. Podemos ver algunas de ellas en la siguiente tabla:
| Burp Suite |
OWASP ZAP |
| Proxy |
Requests/Response Editor |
| Intercept |
Break Points |
| Repeater |
Open/Resend Request Editor |
| Intruder |
Fuzz |
| Vulnerability Scanner |
Attack |
Como vemos, las funciones básicas y fundamentales están cubiertas por ambas aplicaciones por lo que la decisión entre una u otra vendrá dada por factores externos como por ejemplo una restricción económica o una imposición dada por la empresa, por ejemplo.
Ahora bien, si no tenemos restricciones de ningún tipo lo ideal es usar ambas aplicaciones, ya que el solapamiento de funcionalidades en este caso siempre es útil ya que nos permite validar los resultados obtenidos con una de ellas.
5 herramientas que ofrece BURP SUITE
Araña
A través de este rastreador se podrá mapear la aplicación web de destino. Mediante este mapeo se conseguirá una lista final que permitirá testear las funcionalidades de la aplicación y se analizarán las posibles vulnerabilidades que pueden producirse potencialmente.
Apoderado
Mediante un proxy de interceptación el usuario estará en condiciones de modificar y analizar el contenido de las requests y respuestas mientras se encuentran en circulación.
Intruso
La utilidad del intruso es la de evitar ataques en formularios PIN, de contraseñas o similares. También se usa para campos sospechosos de vulnerabilidad a la inyección XSS o SQUL.
Repetidor
Es una herramienta que tiene como objetivo manipular y editar mensajes HTTP y WebSocket individuales. El propósito del módulo Repeater es la de modificar los valores de parámetros y así comprobar vulnerabilidades procedentes de entradas.
Secuenciador
El secuenciador tiene como finalidad realizar el análisis aleatorio de los datos como el token CSRF, el ID de sesión o el restablecimiento de contraseña.
5 funcionalidades ZAP
Gestión de contextos
El contexto permitirá la posibilidad de diseñar mecanismos para autentificarse, definir a los usuarios, establecer las tecnologías que pueden soportarse o la gestión de sesiones. Al respecto Owasp ZAP permite la creación, modificación y eliminación de contextos a pesar de que la herramienta establece uno por defecto.
Marketplace de extensiones
Se podrán añadir extensiones a la herramienta como broken Access controls, wappalizaer o zest entre otras. Esto se debe a que permite incluir funcionalidades complementarias a las que vienen por defecto.
Manipulación de peticiones con Requester
A través de la extensión requester, se podrá realizar la captura de una petición y se podrá modificar y manipular de la forma que se desee. Su apariencia y funcionalidad son muy parecidas al repeater de Burp Suite.
Verificación de controles de acceso
Esta aplicación open source incluye una funcionalidad orientada a gestionar problemas de aplicaciones web cuya administración basada en reglas contenidas en los permisos de los usuarios no son gestionadas correctamente, derivándose así en la posibilidad de obtener permisos no autorizados.
Scripts del tipo Zest
Se podrán realizar planes de pruebas completos para evitar que el tester realice las mismas labores una y otra vez y de forma manual. En este sentido, a través de Zest Scripting, que se encuentra en la barra de herramientas permitirá al usuario navegar dentro de la web, analizando solo aquellas páginas que se desean.
Aprende a dominar estas herramientas consultando nuestro amplio catálogo de cursos y másteres que te darán las competencias profesionales que necesitas para afianzarte en el mundo de las aplicaciones open source con Inesem.
958 050 205
