OWASP Zed Attack Proxy (ZAP) est un scanneur de vulnérabilités et un outil de débogage HTTP. Ce type d'outil est crucial dans un test d'intrusion web et contient un lot intéressant de fonctionnalités. Cela dit, il est possible d'étendre les fonctionnalités. Plusieurs types d'extension sont possibles : vue alternative pour les requêtes ou les réponses, scanneur passif des réponses, scanneur actif produisant des requêtes, etc.

Plusieurs options seront données, par exemple :

• Détection automatique de flag dans les sources
• Scanneur actif asynchrone DNS
• Ou votre propre idée

Pour chacune des suggestions, des squelettes de code seront fournis pour les APIs de ZAP. Pour les utilisateurs de BurpSuite, des directives analogues seront également données.

Niveau : débutant / intermédiaire

Matériel requis

1. Votre portable
2. OWASP ZAP (gratuit) https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
3. (ou Burp Suite https://portswigger.net/burp/download.html)
4. Éditeur de code pour Java, Python ou Ruby

Ce workshop est gratuit ! Un lunch et breuvage sont inclus.

Présentateur : Philippe Arteau

Philippe est un chercheur en cybersécurité chez GoSecure. Il est l'auteur de l'outil d'analyse statique Java "Find Security Bugs". Il a découvert des vulnérabilités importantes dans les logiciels populaires tels que Google Chrome, Dropbox, Paypal, RunKeeper et Jira. Il a présenté dans différentes conférences incluant Black Hat USA, Black Hat Europe, ATL Sec Con, NorthSec, Hackfest (QC) et JavaOne.

Il a développé de nombreux plug-ins pour les outils de proxy BurpSuite et OWASP ZAP (Retire.js, Reissue Request Script, PDF preview et Image Metadata). Il a fait également des contributions à d'autres plug-ins comme J2eeScan.

https://twitter.com/h3xstream
parteau[at]gosecure[dot]ca

Merci à Google pour héberger l'événement !

Merci à nos précieux commanditaires !