Una prueba de penetración básica involucra los siguientes pasos:
Explorar
Utiliza tu navegador web para explorar todas las funcionalidades que ofrece la aplicación.
Sigue todos los enlaces, presiona todos los botones y completa todas los formularios disponibles y envíalos.
Si la aplicación permite el uso de múltiples roles entonces realiza estas actividades para cada uno de los roles.
Para cada rol, guarda la sesión ZAP en un archivo distinto e inicia una nueva sesión para cada nuevo rol que vayas a utilizar.
Spider(Araña)
Usa spider to find URLs that you have either missed
or that are hidden. You can also use the AJAX Spider add-on
to improve the results and crawl the dynamic-built links.
Explora cualquier enlace encontrado.
Navegación Predefinida
Use the forced browse scanner to find unreferenced files and directories (requires "Forced Browse" add-on).
Escaneo Activo
Usa escaneo activo para encontrar vulnerabilidades básicas.
Prueba Manual
Los pasos anteriores encontrarán vulnerabilidades básicas.
De todas formas para encontrar más vulnerabilidades necesitará probar manualmente la aplicación.
Revise la guía de pruebas de Owasp para más detalles.
Próximas versiones de la guía de usuario de ZAP describirá como ZAP puede ser utilizado para ayudar en este proceso.