Now Reading: Novedades en el Lanzamiento de OWASP ZAP 2.13.0
-
01
Novedades en el Lanzamiento de OWASP ZAP 2.13.0
Novedades en el Lanzamiento de OWASP ZAP 2.13.0
El OWASP Zed Attack Proxy es una herramienta ampliamente utilizada para realizar pruebas de penetración de aplicaciones web. Es gratuito y de código abierto.
ZAP funciona como un proxy entre el navegador del evaluador y la aplicación web, interceptando y analizando los mensajes.
ZAP es una herramienta que sirve a varios profesionales, desde desarrolladores hasta especialistas en pruebas de seguridad, así como a aquellos que son nuevos en las pruebas de seguridad.
ZAP 2.13.0
La nueva versión de ZAP 2.13.0 agrega soporte para HTTP/2, manejo de autenticación mejorado y Mac Silicon.
A partir de la versión 2.13.0 de ZAP, HTTP/2 es compatible de forma predeterminada; no se requieren cambios de configuración.
La nueva versión también mejora el manejo de la autenticación, lo que ayuda a autenticar automáticamente muchas aplicaciones web simplemente proporcionando la URL de la página de inicio de sesión junto con las credenciales.
La última actualización ahora permite la compatibilidad con Mac Silicon en las imágenes del instalador y la ventana acoplable. Puede obtener las imágenes de Docker desde GitHub Container Registry.
Nuevas opciones escalables
“Todas las herramientas de “ataque” que usan subprocesos, incluidas las arañas y el escáner activo, se han cambiado para usar el doble de procesadores que el número predeterminado de subprocesos”, se lee en las notas de lanzamiento de Zap .
La función de Limitación de tasa de red permite a los pentesters limitar la tasa de solicitud de HTTP/HTTPS y evitar la sobrecarga.
Se han agregado nuevas reglas de escaneo con ZAP que permiten a los pentesters escanear vulnerabilidades populares como;
- Log4Shell
- Fuga de información del actuador de resorte
- Spring4Shell
- Inyección de plantilla del lado del servidor
- Inyección de plantilla del lado del servidor (ciega)
- Inyección XPath
- Falsificación de solicitud del lado del servidor
- Text4shell (CVE-2022-42889)
- Aislamiento insuficiente del sitio contra la vulnerabilidad de Spectre
- Divulgación del código fuente
Nuevos complementos
El complemento Selenium se actualizó para usar la biblioteca Selenium v4.
Junto con el lanzamiento de Selenium Authentication Helper, que ayuda a los evaluadores a identificar y configurar la autenticación con ZAP.
Puede encontrar una lista completa de mejoras y correcciones aquí.
Related Posts
Stay Informed With the Latest & Most Important News
Previous Post
Next Post
Advertisement
frenify: Thank you for your kind words! We’re glad you enjoyed the post. Stay tuned for more content – we’ve got plenty more coming your way.
frenify: I really enjoyed reading this. The content is informative, and the layout makes it so easy to follow. Looking forward to more posts like this! Keep up the great work!