TEORIA · AMPLIACIÓ PRÀCTICA

Mòdul 8: Auditoria i Eines

Diccionari tècnic de funcions de mitigació, metodologies de pentesting i l'estàndard OWASP ASVS per a la verificació de seguretat.

8.1

El concepte de Proxy Interceptor

📡
Aquestes eines es posicionen enmig de la comunicació (Man-in-the-Middle) entre el navegador de l'usuari i el servidor web.
🔐
Requisit per a HTTPS: Per poder veure el trànsit xifrat, cal instal·lar el Certificat Arrel (Root CA) de l'eina (ZAP o Burp) al navegador. Sense aquest pas, el navegador bloquejarà la connexió per seguretat.
Esquema de Proxy Interceptor
Diagrama: Man-in-the-Middle Proxy images/teoriaM03/proxy-interceptor.png
Llegir més: Configuring your browser — portswigger.net
8.2

OWASP ZAP (Zed Attack Proxy)

És l'eina de codi obert més popular per realitzar escanejos de seguretat automàtics i manuals.

🕷️

Spider (Crawl)

Recorre la web automàticament per trobar tots els fitxers, formularis i rutes ocultes, creant un mapa del lloc.

Active Scan (Audit)

Llança atacs reals (SQLi, XSS, Path Traversal) contra l'aplicació per verificar si les vulnerabilitats són explotables.

🚨

Alertes

Classifica automàticament els errors trobats segons la seva gravetat: Alt, Mitjà, Baix i Informatiu.

Interfície d'alertes d'OWASP ZAP
Diagrama: Alertes i Spider a ZAP images/teoriaM03/owasp-zap-alerts.jpg
Llegir més: Getting Started — zaproxy.org
8.3

Burp Suite (Mòduls clau)

L'estàndard professional de la indústria. Se centra en el control detallat de cada petició HTTP.

🛑

Proxy / Intercept

Permet aturar una petició en temps real, modificar-ne les dades (com preus o cookies) i després alliberar-la cap al servidor.

🔁

Repeater

Serveix per tornar a enviar la mateixa petició moltes vegades modificant paràmetres manualment per provar diferents respostes ràpidament.

🎯

Intruder

S'usa per a atacs automatitzats: força bruta de contrasenyes o fuzzing (enviar milers de caràcters estranys per verure on trenca).

🔢

Decoder

Permet codificar/decodificar dades en Base64, URL encode o Hexadecimal. Vital per a atacs LFI i injeccions complexes.

🛠️

curl

Eina de terminal fonamental per fer peticions HTTP ràpides (com POST o GET) i testejar respostes del servidor manualment.

📋
Objectiu de l'Auditoria: El resultat final de l'ús de ZAP o Burp ha de ser un Informe d'Auditoria que documenti totes les vulnerabilitats detectades per a la seva correcció.
8.4

Mitigació des del Codi (Resum)

💻
Funcions de PHP imprescindibles per corregir els errors trobats amb ZAP o Burp.
🛡️

htmlspecialchars()

Converteix el codi perillós (com <script>) en text inofensiu (entitats HTML) per evitar el XSS.

filter_var()

Valida que els inputs (emails, URLs) tinguin el format correcte, evitant injeccions de rutes malicioses.

🔄

session_regenerate_id(true)

Canvia l'ID de sessió en fer el login. Això invalida qualsevol ID robat prèviament per un atacant (evita Fixació de Sessió).

🍪

Flags de Cookies

HttpOnly: Impedeix que JavaScript llegeixi la cookie (mitiga XSS).
Secure: La cookie només s'envia per connexions xifrades (HTTPS).

🗂️ Resum: Eines d'Auditoria

Root CA Necessari per desxifrar HTTPS al navegador des del Proxy.
ZAP Spider Mapeja l'aplicació cercant fitxers i rutes.
ZAP Active Scan Llança atacs automàtics de seguretat (SQLi, XSS).
Burp Repeater Re-enviament manual de peticions modificades.
Burp Intruder Automatització de força bruta i fuzzing.
Mitigació PHP: htmlspecialchars (XSS), filter_var (Validació), session_regenerate (Sessió).
CSRF Risc: Accions no autoritzades. Atenció: El mètode GET sol ser el més usat per saltar-se proteccions si no hi ha tokens.