2.- Dinamic application security testing (DAST) con ZAP
Usando OWASP ZAP para comprobar las vulnerabilidades de la app.
Para poner en marcha un servidor ZAP en los siguientes pasos, harás lo siguiente:
1. Obtener la aplicación que vas a escanear.
2. Ejecutar ZAP contra la aplicación.
3. Interpretar los resultados del escaneo.
Paso 1: instalar APP insegura: Juice Shop
docker pull bkimminich/juice-shop
docker run - rm -p 3000:3000 bkimminich/juice-shop
Paso 2: abrir el juice shop UI
Abrir navegador en localhost:3000
Paso 3: ejecutar OWASP ZAP
docker pull owasp/zap2docker-stable
- copiar url de la juiceshop
docker run -t owasp/zap2docker-stable zap-baseline.py -t {TARGET_URL}
Paso 4: interpretar resultados:
- coger numero junto a alertas y buscar info en website
https://www.zaproxy.org/docs/alerts/10017
Si ejecutas una herramienta de Pruebas de Seguridad Dinámica (DAST) temprano en el ciclo de vida de desarrollo, es probable que tu lista no sea tan extensa como este ejemplo.
Si DAST se hubiera realizado antes en el desarrollo, es posible que no hubiera habido nueve violaciones de la cabecera X-Content-Type-Options faltante o de la Configuración Cruzada de Dominios.
Segunda Parte: Tests de Seguridad y Estrategias de Mitigación
Lab 1: Usando Análisis Estático
Lab 2: Usando Análisis Dinámico
Lab 3: Evaluando el Análisis de Vulnerabilidades
Lab 4: Evaluando “Software Component Analysis (SCA)”
Tercera Parte: OWASP Top 10 vulnerabilidades
Lab 5: Comprendiendo SQL Injections
Lab 6: Cross Site Scripting XSS
Lab 7: Guardando Secretos de forma Segura
Cuarta Parte: Mejores Prácticas
Lab 8: Code Practices
Lab 9: Secure Development Environment