Skip to content
/ ZAP-DD-Workshop Public

Repository for Meetup: ZAP and Defect Dojo workshop

2 stars 0 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

OWASP-Uruguay/ZAP-DD-Workshop

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

11 Commits
dojo-client
dojo-client
 
 
README.md
README.md
 
 
docker-compose.yml
docker-compose.yml
 
 
zap.xml
zap.xml
 
 

Repository files navigation

ZAP-DD-Workshop

Repository for OWASP Uruguay Meetup: ZAP and Defect Dojo Workshop

Repositorio para el Meetup organizado por OWASP Uruguay: Workshop ZAP y Defect Dojo

Introducción

En este workshop aprenderemos acerca de estos dos proyectos Flagships de OWASP. Además, para probar ZAP utilizaremos otro proyecto Flagship de OWASP, OWASP Juice Shop.

Link a la presentación aquí

ZAP

Inicio ambiente local

Para levantar el ambiente ejecutar el siguiente comando en la raíz del repositorio:

docker-compose up -d

Para abrir la GUI de ZAP acceder a http://localhost:8080/zap/

Descargar certificado: Tools -> Options -> Dynamic SSL Certificate -> Save (instalarlo en el navegador de preferencia)

Acceder a juice-shop http://localhost:3000

Acceder a webgoat http://localhost:8888

Para bajar el ambiente local (necesario para hacer las pruebas con DefectDojo), ejecutar también en la raíza del repositorio:

docker-compose down

Defect Dojo

Inicio rápido local

git clone https://github.com/DefectDojo/django-DefectDojo
cd django-DefectDojo
# Buildear
docker-compose build
# Correr
docker-compose up -d

Navegar a http://localhost:8080 (esperar un rato que levante o si aparece un error refrescar hasta que termine de levantar todo).

Ejecutar el siguente comando para averiguar la contraseña del ususuario admin: docker-compose logs initializer | grep "Admin password:"

Creando un nuevo usuario administrador

Puede pasar, sobre todo al hacer pruebas, que el password de admin se les olvide. Esta es una forma simple de crear un nuevo usuario con privilegios.

docker-compose exec uwsgi /bin/bash -c 'python manage.py createsuperuser'
enabling audit logging
patching TagDescriptor
Popen(['git', 'version'], cwd=/app, universal_newlines=False, shell=None, istream=None)
Popen(['git', 'version'], cwd=/app, universal_newlines=False, shell=None, istream=None)
Username: fzipi
Email address: [email protected]
Password:
Password (again):
Superuser created successfully.

Términos usados en DD

Estos son los términos básicos que se usan en DefectDojo, que van a ser útiles a medida que se trabaja con el.

Products (productos)

Este es el nombre de cualquier proyecto, programa, equipo, o empresa que se está testeando.

Ejemplos:

  • Wordpress
  • Wiki Interno
  • Slack

Product types (tipos de producto)

Pueden ser unidades de negocio, oficinas o lugares distintos, o cualquier cosa que sirva para distinguir lógicamente los "tipos" de productos.

Ejemplos:

  • Internal / 3rd party
  • Main company / Acquisition
  • San Francisco / New York offices

Engagement (interacciones/contratos)

Son momentos en el tiempo en los que el test se realiza. Se asocian a un nombre para fácil referencia, un plazo de tiempo, un líder, una estrategia de test y un estatus.

Ejemplos:

  • Beta
  • Quarterly PCI Scan
  • Release Version X

Test Types (tipos de tests)

Características del tipo de test que se hizo durante la interacción.

Ejemplos:

  • Funcional
  • Seguridad
  • Nessus Scan
  • API test

Environments (entornos)

El entorno que fue testeado durante la interacción.

Ejemplos:

  • Producción
  • PreProd
  • Desarrollo

Links de interés

OWASP ZAP (Zed Attack Proxy)

OWASP DefectDojo

OWASP Juice Shop

OWASP Webgoat

All OWASP Projects

About

Repository for Meetup: ZAP and Defect Dojo workshop

Resources

Readme
Activity
Custom properties

Stars

2 stars

Watchers

2 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages