Demostración en vídeo de este post:

En el curso de Hacking contra APIS Rest disponible en THW, enseño muchas técnicas y utilidades para hacer auditorías sobre este tipo de aplicaciones, desde extensiones útiles en Burp Proxy hasta scripting para automatizar ciertas técnicas. Una de las cosas que comento con frecuencia tanto en ese curso como en los de ZAP Básico y ZAP Avanzado es que se le debe sacar todo el provecho posible a las herramientas que están en nuestro alcance, es posible que lo que no puedas hacer con una utilidad, sí puedas con otra.
Cuando se habla de Hacking web, estas dos herramientas son probablemente las más sonadas y aquí entran en juegan los gustos y preferencias de cada uno.
Hay quienes dicen que es mejor Burp Community o Burp Pro por la cantidad de extensiones que aporta.
Otros dicen que es mejor utilizar ZAP porque es altamente configurable, admite scripting y se puede ejecutar como un servicio con su API Rest.
Cada cual intenta justificar sus preferencias con argumentos muy válidos desde una perspectiva técnica, pero lo cierto es que estamos hablando de herramientas que cualquiera que se dedique al pentesting web debería dominar, independiente de gustos o afinidades. Son herramientas, aprendes sobre su funcionamiento e identificas cuándo viene mejor usar una u otra.

En este sentido, explicaré en este breve post cómo integrar ZAP y Burp para hacer pentesting sobre una aplicación web. Si bien las opciones que admiten estas herramientas permiten la integración con prácticamente cualquier herramienta para Hacking web, en este post me centraré en dos posibles escenarios:

1. Capturas las peticiones HTTP con ZAP, las procesas y luego las reenviás a Burp.
2. Capturas las peticiones HTTP con Burp, las procesas y luego las reenviás a ZAP.

Es decir, que utilizas primero una herramienta, le sacas todo el provecho que puedas y luego, esa misma petición que has capturado, se le enviás a la otra herramienta para hacer lo mismo.

En primer lugar, debes tener levantadas ambas utilidades, cada una de ellas con su correspondiente proxy HTTP en puertos distintos. Si lo que quieres es capturar las peticiones con Burp, lo primero que necesitas es o bien configurar tu navegador web para que pase por medio del proxy de Burp o levantar el navegador que viene integrado en la herramienta. En el caso de que quieras configurar tu navegador, siempre recomiendo utilizar la extension Foxy Proxy que está disponible para Firefox y Chrome.

A continuación, antes de empezar a capturar peticiones, es necesario dirigirse a User Options -> Connections -> Upstream Proxy Servers -> Add

En el formulario que aparece, basta con indicar la IP y puerto en donde se encuentra el proxy HTTP de ZAP

Como se puede apreciar en la imagen, el proxy de ZAP debe estar en ejecución en el puerto 8003, el cual recibirá las peticiones HTTP por parte de Burp y finalmente, serán enviadas al servidor web correspondiente. Las respuestas seguirán el mismo camino de vuelta, es decir, se enviarán a ZAP y desde ahí a Burp.

Para probar de este «circuito», puedes utilizar alguna aplicación web vulnerable por diseño, en éste post tienes un buen listado de aplicaciones que puedes levantar rápidamente con Docker: Preparación de un entorno con Docker para Hacking web

En la imagen se apreciar cómo se han capturado las peticiones con Burp y luego, se han redirigido a ZAP, el cual inmediatamente las envía al servidor de Juice Shop, el cual le devuelve una respuesta.
En la imagen no se aprecian cada uno de los pasos que se han llevado a cabo, así que te invito a que veas el vídeo que he subido a YouTube en donde podrás ver el procedimiento completo.

Y ahora lo mismo, pero en el sentido opuesto. En primer lugar se configura ZAP para indicarle que las peticiones, una vez procesadas en la herramienta, se deben redirigir a Burp. Para ello, hay que dirigirse a Tools -> Options -> Connection y marcar la opción que pone «Use an outgoing proxy server«. A continuación, basta con indicar la IP y puerto donde está en ejecución el proxy de Burp.

Ahora, se puede utilizar ZAP en modo manual o configurar el navegador web y que todas las peticiones que se hagan desde él, se redirijan al proxy de ZAP. A partir de este punto, se pueden crear BreakPoints en ZAP para capturar peticiones, manipularlas si hace falta y luego reenviarlas a Burp.

Como se puede ver en la imagen, las peticiones se capturan primero por ZAP y después, se redireccionan a Burp, el cual tiene la opción «Intercept is on» habilitada.

Tal como he mencionado al inicio de este post, son características interesantes que puedes implementar en tus auditorías web, destacan precisamente por su sencillez y potencia. Si quieres aprender a realizar otras integraciones con herramientas con Burp y ZAP, te recomiendo los cursos disponibles en THW.

¿Por qué elegir una de las dos herramientas cuando puedes usarlas ambas sin mayores complicaciones?

Un saludo y Happy Hack!
Adastra.