mejores herramientas de auditoria de apps

Burp Suite vs ZAP: mejores herramientas para auditar la seguridad de apps

15/10/2021
Número de visualizaciones

A la hora de analizar la seguridad de las aplicaciones web podemos encontrar una gran variedad de aplicaciones. Dentro de esta variedad, destacan especialmente dos alternativas: Burp Suite vs ZAP.

En este artículo vamos a repasar las cualidades de cada una de ellas para así saber elegir la que más se adapte a nuestras necesidades.

Introducción a la seguridad de apps

Desde hace años Internet es el motor del mundo moderno y nos encontramos usando páginas y aplicaciones web de forma continua en nuestro día a día, ya sea de forma personal o en el entorno de trabajo.

Debido a este uso masivo, la seguridad de estos elementos se torna imprescindible, por lo que necesitamos herramientas que nos ayuden a estudiar las posibles fallas que se pueden presentar.

Dentro del panorama del análisis de la seguridad informática podemos encontrar múltiples aplicaciones para realizar estas tareas, destacando dos de ellas: OWASP ZAP (abreviatura de Zed Attack Proxy) y Burp Suite.

Pero antes de analizar las características principales de ambas aplicaciones vamos a introducir qué son estas aplicaciones y el objetivo concreto que tienen. Burp Suite vs ZAP ¿Quién ganará?

¿Qué es el "pen testing"?

Cuando hablamos de aplicaciones para realizar “pen testing” o “test de penetración” nos referimos a aquellas aplicaciones que nos permiten atacar un sistema informático para identificar los posibles fallos, vulnerabilidades y diferentes errores de seguridad que existen.

Dentro de este conjunto de pruebas podemos encontrar tres tipos fundamentales:

- De caja blanca: en este tipo de ataque conocemos todos los detalles del sistema, la aplicación y la arquitectura. Es el tipo de prueba más completa ya que disponemos de toda la información de antemano.

- De caja negra: en este caso, al contrario que el anterior, no se tiene ningún conocimiento del sistema y se va “a ciegas”. Este tipo de prueba es la que más se asemeja a un ataque real.

- De caja gris: una fusión de los dos ataques anteriores donde se combinan los beneficios para una mayor efectividad.

Burp Suite vs ZAP

Llegados a este punto, sólo nos queda analizar ambas aplicaciones para saber cuál elegir en cada caso.

En primera instancia hay que recordar que OWASP ZAP es una herramienta libre, desarrollada por la comunidad y sin coste; mientras que para hacer uso de todas las opciones de Burp Suite deberemos abonar una cuota mensual (aunque existe una versión “Community” con funciones recortadas).

Esta diferencia puede suponer la elección de un software u otro, sobre todo si se trata de un experto en seguridad independiente o un estudiante que se está adentrando en el mundo de la seguridad por primera vez.

Pero dejando a un lado el factor económico, ambas herramientas son muy similares y podemos encontrar las funcionalidades más importantes replicadas en ambas. Podemos ver algunas de ellas en la siguiente tabla:

Burp SuiteOWASP ZAP
ProxyRequests/Response Editor
InterceptBreak Points
RepeaterOpen/Resend Request Editor
IntruderFuzz
Vulnerability ScannerAttack

Como vemos, las funciones básicas y fundamentales están cubiertas por ambas aplicaciones por lo que la decisión entre una u otra vendrá dada por factores externos como por ejemplo una restricción económica o una imposición dada por la empresa, por ejemplo.

Ahora bien, si no tenemos restricciones de ningún tipo lo ideal es usar ambas aplicaciones, ya que el solapamiento de funcionalidades en este caso siempre es útil ya que nos permite validar los resultados obtenidos con una de ellas.

5 herramientas que ofrece BURP SUITE

Araña

A través de este rastreador se podrá mapear la aplicación web de destino. Mediante este mapeo se conseguirá una lista final que permitirá testear las funcionalidades de la aplicación y se analizarán las posibles vulnerabilidades que pueden producirse potencialmente.

Apoderado

Mediante un proxy de interceptación el usuario estará en condiciones de modificar y analizar el contenido de las requests y respuestas mientras se encuentran en circulación.

Intruso

La utilidad del intruso es la de evitar ataques en formularios PIN, de contraseñas o similares. También se usa para campos sospechosos de vulnerabilidad a la inyección XSS o SQUL.

Repetidor

Es una herramienta que tiene como objetivo manipular y editar mensajes HTTP y WebSocket individuales. El propósito del módulo Repeater es la de modificar los valores de parámetros y así comprobar vulnerabilidades procedentes de entradas.

Secuenciador

El secuenciador tiene como finalidad realizar el análisis aleatorio de los datos como el token CSRF, el ID de sesión o el restablecimiento de contraseña.

5 funcionalidades ZAP

Gestión de contextos

El contexto permitirá la posibilidad de diseñar mecanismos para autentificarse, definir a los usuarios, establecer las tecnologías que pueden soportarse o la gestión de sesiones. Al respecto Owasp ZAP permite la creación, modificación y eliminación de contextos a pesar de que la herramienta establece uno por defecto.

Marketplace de extensiones

Se podrán añadir extensiones a la herramienta como broken Access controls, wappalizaer o zest entre otras. Esto se debe a que permite incluir funcionalidades complementarias a las que vienen por defecto.

Manipulación de peticiones con Requester

A través de la extensión requester, se podrá realizar la captura de una petición y se podrá modificar y manipular de la forma que se desee. Su apariencia y funcionalidad son muy parecidas al repeater de Burp Suite.

Verificación de controles de acceso

Esta aplicación open source incluye una funcionalidad orientada a gestionar problemas de aplicaciones web cuya administración basada en reglas contenidas en los permisos de los usuarios no son gestionadas correctamente, derivándose así en la posibilidad de obtener permisos no autorizados.

Scripts del tipo Zest

Se podrán realizar planes de pruebas completos para evitar que el tester realice las mismas labores una y otra vez y de forma manual. En este sentido, a través de Zest Scripting, que se encuentra en la barra de herramientas permitirá al usuario navegar dentro de la web, analizando solo aquellas páginas que se desean.

Aprende a dominar estas herramientas consultando nuestro amplio catálogo de cursos y másteres que te darán las competencias profesionales que necesitas para afianzarte en el mundo de las aplicaciones open source con Inesem

Categorizado en: Informática y TICS

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Descubre MasterClass de INESEM. Una plataforma en la que profesionales enseñan en abierto

Profesionales enseñando en abierto

Universidades colaboradoras
La universidad Antonio de Nebrija es Universidad colaboradora con INESEM Business School La universidad a Distancia de Madrid es Universidad colaboradora con INESEM Business School