Prueba de control de acceso

Este complemento permite a los usuarios comparar qué partes de una aplicación web se encuentran disponibles a algunos usuarios, realizar pruebas de control de acceso e identificar problemas potenciales de control de acceso. Permite la configuracion de las reglas de acceso y realiza un ataque completo con el objetivo de ayudar a identificar las secciones de una aplicación web que son accesibles por los clientes no autorizados.

Hay dos conceptos principales relacionados con este complemento que debe ser explicado: las Reglas de acceso y el procedimiento de prueba.

Reglas de Acceso

Para identificar posibles problemas de control de acceso, ZAP necesita saber cuáles partes de la aplicación web son supuestamente accedidas por el usuario. En ZAP, el nombre para estas reglas es: Reglas de Acceso y generalmente tiene el significado: "La página A debe/no debe ser accedida por Usuario X".

Las reglas se configuran para un contexto y por cada usuario de ese contexto, cada nodo del sitio (página web) se asociará a uno de los siguientes valores:

Allowed - el recurso puede puede ser accedido por el usuario al cual se refiere la regla
Denied - el recurso no debe ser accedido por el usuario al cual se refiere la regla
Unknown - no hay información con respecto a si el recurso debe o no debe ser accesible al usuario al cual se refiere la regla

Para simplificar el proceso de definición de las reglas de acceso, ZAP hace uso de una estructura de URLs en forma de árbol. Cuando se analizan las reglas, un algoritmo de inferencia se utiliza para detectar las reglas correspondientes a cada nodo basado en el nodo principal en el URL si no hay reglas particulares definidas. Esto significa que, cuando se configura las reglas de acceso, solo 1 regla necesita estar configurada explícitamente para todo un sub-árbol, mientras que para los otros nodos las reglas son inferidas. Sobre esto hay más detalles en la página de ayuda de Control de Acceso Context options.

Procedimiento de prueba

Como un todo, con el fin de realizar por completo la prueba de control de acceso para una aplicación web, se debe seguir los siguientes pasos:

el evaluador define el conjunto de usuarios y cómo son autenticados;
el evaluador define cómo ZAP puede identificar solicitudes no autorizadas (a través del panel de Autorizacion en las Propiedades de Sesión);
la aplicación web es explorada ya sea manualmente o mediante el Spider;
el evaluador define las Reglas de Acceso para cada usuario asociado al contexto, básicamente dejando que ZAP sepa cuáles partes de la aplicación web serán supuestamente accedidas por cuál usuario;
un "ataque" es realizado por ZAP al tratar de acceder cada URL de la aplicación web desde la perspectiva de cada usuario;
en la pestaña de Status correspondiente, se muestran los resultados que demuestran cuáles páginas fueron accedidas con éxito por cuál usuario y marca los casos donde no se siguieron las reglas de acceso.

Nota: Las pruebas de control de acceso no están permitidas en Seguro modo ni Protegido si el contexto no está dentro del alcance.

API

El complemento expone los siguientes extremos de la API:

Actions

scan

Inicia un análisis de control de acceso con el ID de contexto y el ID de usuario proporcionados (puede ser una lista de ID separados por comas). (Parámetros opcionales: booleano que identifica si se debe incluir un usuario no autenticado (falso predeterminado), booleano identificar si se activan o no alertas (valor predeterminado verdadero) y el nivel de riesgo de las alertas (valor predeterminado alto). [Nota:Esto supone que las reglas de control de acceso se establecieron previamente a través de la interfaz de ZAP y el contexto necesario se exportó/importó.]

writeHTMLreport

Genera un informe de control de acceso para el ID de contexto dado y lo guarda en función del nombre de archivo proporcionado (ruta).

Views

getScanProgress

Obtiene el progreso del análisis de control de acceso (porcentaje entero) para el ID de contexto proporcionado.

getScanStatus

Muestra el estado del escaneo (descripción) del Control de Acceso para el ID del contexto proporcionado.

Véase también

	Pestaña de Prueba de control de acceso	Para una descripción de la pestaña de estado por el complemento
	Opciones de Contexto de Control de Acceso	Para obtener información sobre las opciones de contexto relacionadas