Guía para una adecuada configuración de ZAP en la elaboración de ejercicios de WPT basado en el marco de referencia OWASP - WSTG

Abstract

Las pruebas de vulnerabilidad en aplicaciones Web son una medida preventiva fundamental para garantizar la seguridad de las empresas. Sin embargo, un desafío común surge durante la realización de estas pruebas, ya que dependen en gran medida del conocimiento y la experiencia del auditor, así como de la correcta configuración de las herramientas utilizadas para la detección de vulnerabilidades. Con el fin de abordar este problema, se propone una guía para la configuración de la herramienta ZAP, utilizando el marco de referencia OWASP – WSTG para realizar pruebas de seguridad en entornos Web. Esta guía describe las funcionalidades de la herramienta que pueden ser empleadas para cumplir con el marco de referencia, permitiendo la realización de pruebas más consistentes y eficaces, independientemente de la infraestructura que respalda la aplicación.

Performing Web Penetration Tests on Web applications has the purpose of having a triage over security measures for every company. However, a problem comes to light at the time of carrying out the tests since these usually depend on the knowledge and experience of the auditor regarding the configuration of the tool used and the detection of vulnerabilities on the site. To solve this, a guide is proposed for configuring the ZAP tool using the reference framework to perform security tests by OWASP – WSTG. This work lists ZAP’s functionalities that can be used to satisfy the reference framework and perform more homogeneous tests regardless of the infrastructure that supports the application.