mejores herramientas de auditoria de apps

Burp Suite vs ZAP: mejores herramientas para auditar la seguridad de apps

15/10/2021
Número de visualizaciones

A la hora de analizar la seguridad de las aplicaciones web podemos encontrar una gran variedad de aplicaciones. Dentro de esta variedad, destacan especialmente dos alternativas: Burp Suite vs OWASP ZAP.

En este artículo vamos a repasar las cualidades de cada una de ellas para así saber elegir la que más se adapte a nuestras necesidades.

Introducción a la seguridad de apps

Desde hace años Internet es el motor del mundo moderno y nos encontramos usando páginas y aplicaciones web de forma continua en nuestro día a día, ya sea de forma personal o en el entorno de trabajo.

Debido a este uso masivo, la seguridad de estos elementos se torna imprescindible, por lo que necesitamos herramientas que nos ayuden a estudiar las posibles fallas que se pueden presentar.

Dentro del panorama del análisis de la seguridad informática podemos encontrar múltiples aplicaciones para realizar estas tareas, destacando dos de ellas: OWASP ZAP (abreviatura de Zed Attack Proxy) y Burp Suite.

Pero antes de analizar las características principales de ambas aplicaciones vamos a introducir qué son estas aplicaciones y el objetivo concreto que tienen.

¿Qué es el "pen testing"?

Cuando hablamos de aplicaciones para realizar “pen testing” o “test de penetración” nos referimos a aquellas aplicaciones que nos permiten atacar un sistema informático para identificar los posibles fallos, vulnerabilidades y diferentes errores de seguridad que existen.

Dentro de este conjunto de pruebas podemos encontrar tres tipos fundamentales:

- De caja blanca: en este tipo de ataque conocemos todos los detalles del sistema, la aplicación y la arquitectura. Es el tipo de prueba más completa ya que disponemos de toda la información de antemano.

- De caja negra: en este caso, al contrario que el anterior, no se tiene ningún conocimiento del sistema y se va “a ciegas”. Este tipo de prueba es la que más se asemeja a un ataque real.

- De caja gris: una fusión de los dos ataques anteriores donde se combinan los beneficios para una mayor efectividad.

Burp Suite vs ZAP

Llegados a este punto, sólo nos queda analizar ambas aplicaciones para saber cuál elegir en cada caso.

En primera instancia hay que recordar que OWASP ZAP es una herramienta libre, desarrollada por la comunidad y sin coste; mientras que para hacer uso de todas las opciones de Burp Suite deberemos abonar una cuota mensual (aunque existe una versión “Community” con funciones recortadas).

Esta diferencia puede suponer la elección de un software u otro, sobre todo si se trata de un experto en seguridad independiente o un estudiante que se está adentrando en el mundo de la seguridad por primera vez.

Pero dejando a un lado el factor económico, ambas herramientas son muy similares y podemos encontrar las funcionalidades más importantes replicadas en ambas. Podemos ver algunas de ellas en la siguiente tabla:

Burp SuiteOWASP ZAP
ProxyRequests/Response Editor
InterceptBreak Points
RepeaterOpen/Resend Request Editor
IntruderFuzz
Vulnerability ScannerAttack

Como vemos, las funciones básicas y fundamentales están cubiertas por ambas aplicaciones por lo que la decisión entre una u otra vendrá dada por factores externos como por ejemplo una restricción económica o una imposición dada por la empresa, por ejemplo.

Ahora bien, si no tenemos restricciones de ningún tipo lo ideal es usar ambas aplicaciones, ya que el solapamiento de funcionalidades en este caso siempre es útil ya que nos permite validar los resultados obtenidos con una de ellas.

Categorizado en: Desarrollo de Aplicaciones

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Descubre MasterClass de INESEM. Una plataforma en la que profesionales enseñan en abierto

Profesionales enseñando en abierto