Guia Momento 4 233008 2015 1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

Curso: Seguridad en aplicaciones web.
233008. Ing. (Msc). Carlos Alberto Amaya Tarazona
GUA DE ACTIVIDADES (PARA MOMENTO 4 FINAL) 2015-1
Seguridad en aplicaciones web_ 233008
La siguiente gua contiene una serie de ejercicios que les ejercitan en el uso de herramientas y la aplicacin de
procedimientos cuando se trata de detectar y evaluar seguridad en aplicaciones web y sus incidencias. Esos
ejercicios deben ser documentados desde el punto de vista objetivo de la ingeniera aplicada al hacking tico
por lo que sus comentarios, desarrollos, caracterizacin de procedimientos y conclusiones deben ser de su
autora. Se pueden apoyar en la documentacin web, libros, blogs, comunidades de software libre, repositorios,
wikis, listas de correo, etc, pero siempre teniendo en cuenta en referenciar las fuentes de donde se apoyan.
Cuando se le soliciten soluciones o propuestas para mitigar esas vulnerabilidades, antes que enunciar IDS o
firewalls de manera general (que no es vlido para estos ejercicios acadmicos inicialmente), debe proponer
las soluciones a nivel de programacin y configuracin de funciones PHP, shells, scripts o configuracin de
directivas de apache , SQL o de diseo web propios de esas aplicaciones
Se plantean nueve (9) ejercicios que si bien no cubren la totalidad de modalidades (inseguridad) o
vulnerabilidades tpicas a las que estn expuestas las aplicaciones web (ya que son muchsimas) y que incluso
no abarcan las del ranking del proyecto OWASP TOP 10, se ha pretendido abarcar las ms comunes y
frecuentes. Uds como especialistas en Seguridad informtica, deben conocer la menos como se consolidan
estos riesgos y cmo actan
La metodologa de trabajo es la siguiente: En el siguiente archivo compartido de Excel,
https://docs.google.com/spreadsheets/d/1FlAQGsut9O9fXtmWvJpb6LzNuLQM1Zb1RWzNucA6oc8/edit?
usp=sharing
El grupo de comn acuerdo selecciona solo un ejercicio a desarrollar y lo confirma en ese archivo
compartido ubicando en la columna B el nmero de grupo asociado a la actividad que eligen. Adems en el
foro de la actividad colaborativa momento 4, confirman y comunican su eleccin.
El desarrollo del momento 4 ya empez, desde el 16 de Abril de 2015 y tiene como fecha de cierre el 31 de
mayo de 2015 . Cuentan con le suficiente tiempo para el desarrollo de la actividad.
PROYECTOS A DESARROLLAR (SOLO DEBEN SELECCIONAR UNO) PARA EL DESARROLLO (El que
mejor apique o se le facilite):
CONVENCIONES: Los textos que vea con los siguientes colores tienen el objetivo de:
COLOR NEGRO: Documentacin e indicaciones (procedimientos) de apoyo para esta gua y para el
desarrollo de la actividad.
COLOR AZUL: Procedimientos que debe hacer para lograr la instalacin o el desarrollo de los ejercicios.
COLOR ROJO: Los ejercicios que debe solucionar o desarrollar y que debe ubicar en el informe a
presentar
La documentacin que justifique a las preguntas que se le hagan, debe estar asociada al ejercicio, ser
objetiva y especfica y no cargar documentacin o definiciones generales. Deben ser anlisis de su
autora o en otro caso tener referencias de autor. Las respuestas deben se concretas y no extensas.
Para esta actividad si ve que es necesario capturar una pantalla para mostrar resultados (que no se
puedan evidenciar por extraccin de datos o informes por consola) lo puede hacer. Use siempre y
cuando se puedan los informes por consola.

Ejercicios a desarrollar:
EJERCICIO 1: COMMAND EXECUTION VULNERABILITY.
La caracterstica de esta vulnerabilidad es la de permitir ejecutar comandos de consola desde la web, pudiendo
as ver, modificar y eliminar archivos y directorios del servidor donde se aloja la administracin del sitio. El
alcance de esta vulnerabilidad, est dado por los permisos que tenga un usuario legtimo logueado en el sitio.
As este usuario podr ejecutar comandos Apache acorde a su nivel de administracin.
Los comandos usados suelen ser concatenados y son enviados a travs de formularios del sitio web a travs
del campo input. Ejemplos de concatenacin de comandos son entre otros:
Con | (barra sencilla)
Con & (ampersand)
Con || (doble barra u

operador OR )
Con
&&
(doble
ampersand)
Con ; (punto y coma)
hace que la salida del primero se convierta en la

entrada del segundo
har que los dos (o ms) comandos se ejecuten de
manera simultnea.
[root@server ~]# cmd1 | cmd2

[root@server ~]# cmd1 & cmd2
El segundo comando se ejecutar si el primero termina [root@server ~]# cmd1 || cmd2

sin xito.
El segundo comando se ejecutar solo si el primero
termina con xito
El segundo comando se ejecutar sin importar el
resultado del primero.
[root@server ~]# cmd1 && cmd2

[root@server ~]# cmd1 ; cmd2
El procedimiento que se va a realizar para comprobar esta vulnerabilidad haciendo uso de DVWA es el
siguiente:
DVWA cuando se carga sin la opcin de dvwa-nologin, (es decir sin ingresar credenciales de acceso),
muestra las diferentes vulnerabilidades con las que se pude practicar: brute, exec, aqli, uplad, xss, csrf, fi.
Para la vulnerabilidad que se est trabajando, (exec) (ejecucin de comandos o command execution), se carga
el directorio que muestra el archivo index.php.
Para esta vulnerabilidad, dvwa la puede cargar en tres niveles de seguridad: (low, mdium , high)

La estructura de estos niveles est dispuesta en el directorio source:
Cada nivel est configurado con script en php as: (el del nivel bajo low)

Este script permite al visitante realizar ping a una IP (o host) a travs de un formulario y a simple vista podra
parecer bastante inocuo. Sin embargo, la informacin enviada a travs del campo input del formulario no es
tratada antes de llevar a cabo su ejecucin por parte del servidor, por lo que un usuario malintencionado podra
aprovecharse para ejecutar otros comandos diferentes usando la concatenacin de comandos.
En el nivel low ejecute:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
;pwd
|| ls-l /
192.18.10.1 (cambie la IP por la del localhost de su mquina)
192.168. 0.10 && cat /proc/cpuinfo (cambie la IP por la del localhost de su mquina)
& cat /etc/password
; ls l ../ (Encuentre un directorio que tenga todos los permisos de usuario y cargue un archivo local,
luego muestre que al directorio le fue cargado el archivo).
192.168.0.1 cat /etc/passwd | tee /tmp/passwd
127.0.0.1 & dir
Adicione un Nuevo usuario administrador al sistema, posterior a ello evidencie el login de usuario
creado en DVWA.
Ejecutar un comando remoto
Para cada comando (tem a realizar) ejecutado, muestre la captura y: Documente o explique lo encontrado. A
nivel de seguridad, como podra explotarse lo encontrado.
Cuando usa la IP, en un entorno real, cul IP sera?
El script que se implementa en el nivel de seguridad mdium es el siguiente:

11. Explique que diferencia hay con el nivel de seguridad low y que funciones se implementan con sus
objetivos. Que seguridad se incrementa.
12. Por qu esta medida sigue siendo ineficaz para el uso de ciertos comandos u operadores
(demustrelo con un ejemplo)
El script que se implementa en el nivel de seguridad high es el siguiente:
13. Explique qu diferencia hay con el nivel de seguridad low
implementan con sus objetivos. Que seguridad se incrementa.
y mdium y que funciones se
Ahora que ya pudo evidenciar como trabaja la ejecucin de comandos en un formulario de un sitio web,
se va a usar otra modalidad de este tipo de ataque:
Webgoat es otra de las aplicaciones que nos permite hacer prcticas con este tipo de vulnerabilidad.
(Command Injection) (es decir inyectando comandos). La misma suite webgat nos muestra todas las
soluciones a cada ejercicio. Para este caso realice el ejercicio que se muestra en la solucin
suministrada por webgoat:
Visualizacin: http://webappsecmovies.sourceforge.net/webgoat/movies/WebGoat_InjectionFlaws_CommandInjection/
Descarga:
http://sourceforge.net/projects/webappsecmovies/files/web/webgoat/WebGoat_InjectionFlaws_CommandInjection.zip/download
Ingreso a webgoat (user: guest ; password : guest)

14.
15.
16.
17.
18.
19.
Evidencie la inyeccin del cdigo

Explique qu tipo de cdigo se inyect y la funcin del mismo
Que afectacin podra tener en el sitio web
Por qu se tiene que codificar el comando a inyectar.
Qu tipo de codificacin se us en el cdigo a inyectar.
Que prevencin Ud usara o implementara para este tipo de vulnerabilidad COMMAND EXECUTION
. Explquela en que consiste.
EJERCICIO 2: CSFR (CROSS-SITE REQUEST FORGERY) XSRF
(le suelen llamar: Enlace hostil, ataque de un clic, captura de sesin)
Falsificacin de peticin de sitios cruzados es otra de las vulnerabilidades tpicas de las aplicaciones web que
est enmarcada dentro del TOP 10 de OWASP. Es un tipo de exploit en el que comandos no autorizados son
transmitidos por un usuario en el cual el sitio web confa.
Esta vulnerabilidad se hace efectiva cuando un sitio web permite a un usuario autenticado realizar acciones
consideradas como sensibles sin comprobar que realmente es el usuario quien las est invocando
conscientemente. En su lugar, la aplicacin simplemente comprueba que la peticin proviene del navegador
autorizado de dicho usuario.
De este modo, y dado que los navegadores ejecutan simultneamente cdigo enviado por mltiples sitios web,
existe el riesgo de que un sitio web (sin el conocimiento del usuario) enve una solicitud a un segundo sitio web
y ste interprete que la accin ha sido autorizada por el propio usuario.
HERRAMIENTAS QUE SE VA A USAR:
Firebug
http://getfirebug.com/
FoxyProxy
http://getfoxyproxy.org/
OWASP CSRFTester
https://www.owasp.org/
index.php/File:CSRFTe
ster-1.0.zip
Es una extensin de Firefox creada y diseada especialmente para desarrolladores y

programadores web. Es un paquete de utilidades con el que se puede analizar (revisar velocidad
de carga, estructura DOM), editar, monitorizar y depurar el cdigo fuente, CSS, HTML y
JavaScript de una pgina web de manera instantnea y online. Se usar para poder mostrar
como es debido un ejemplo de este tipo de ataque, y que sean legibles las contraseas de la
vctima antes y despus del mismo. Si va a usar Samurai Linux, este addons ya viene en Firefox.
Herramienta de administracin avanzada de proxies, que reemplaza totalmente la limitada funcionalidad
de proxies nativa de los exploradores web Firefox, Chrome e Internet Explorer.
Si realiza el ejercicio con Samurai Linux, esta viene ya por defecto disponible. En Kali Linux,
tambin ya encuentra otros proxys que le sirven ya que lo que se requiere es que se puedan
interceptar las conversaciones que se puedan genera la interactuar con el sitio web.
Herramienta gratuita (distribuida bajo licencia LGPL) para desarrolladores con la que poder comprobar si
los formularios web son vulnerables a este tipo de ataque.
__________________________________________________________________________
O puede usar WebScarab

(https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project )
. Viene tambin por defecto en las herramientas de Samurai Linux.
La primera parte de este ejercicio se desarrollar haciendo uso de la aplicacin para pruebas y ejercicios
DVWA.
Ingrese a DVWA identificndose con el usuario admin y la contrasea password (en un nivel de seguridad

low) para acceder al sistema. Hasta ah se ha conseguido loguear y autenticar correctamente y an no es
vctima de CSRF. El usuario ya es confiable para el sitio web mientras la cookie almacenada en su
navegador web con la ID de inicio de sesin no caduque o el usuario cierre la sesin (con lo que sta sera
eliminada).
(evidencie los siguientes procesos)
1. Se va a proceder a realizar un cambio de contrasea en ese formulario. Pero para ello, configure su
navegador con FoxProxy para que capture todo el trfico web en un puerto determinado, el mismo
en que estar escuchando la aplicacin OWASP CSRFTester WebScarab. En este caso el puerto
es el 8008
OWASP CSRFTester va a capturar lo que se enve por ese formulario
2. Para cada peticin se muestran detalles como el mtodo de envo empleado por el formulario (GET o
POST) (identifique esas peticiones y los mtodos de envo) y los parmetros transmitidos por URL.
Modifique los parmetros para que la vctima realice un cambio de contrasea (por otra que
desconozca) sin su consentimiento.
3. Genere el HTML realizar la peticin de cambio de contrasea basada en la confianza que el sitio
web tiene en el usuario autenticado en el sistema.
4. Utilice el mtodo de forzar cambio de contrasea usando CSRFTester insertando, por ejemplo, una
imagen. Obviamente esta imagen no ser mostrada al usuario (puesto que el origen no es una
imagen) y lo que producir precisamente es que se genere la solicitud de cambio de contrasea
5.
Evidencia la accin cunado al dar clic sobre la imagen o el link falseado a travs del navegador web
le ha redirigido a la pgina de cambio de contrasea y que no se muestra ningn mensaje referente
al cambio de la misma.
6. Como la cookie de navegador ha caducado, al iniciar sesin con la contrasea antigua, generar
error Login failed.
7. Use la herramienta Firebug para modificar el campo de contrasea y transformarla en un campo de
tipo texto para que sta sea legible.
8.
Compruebe que, efectivamente, la contrasea fue cambiada llevando a cabo una autenticacin en el
sistema con el usuario admin y la nueva contrasea.
Ahora que se ha dado cuenta y evidenciado como acta esa vulnerabilidad, se va hacer uso de Webgoat
para identificar algunas extensiones y alcances adicionales de CSRF, Para ello se va apoyar en el
desarrollo y solucin que ofrece webgoat para el ejercicio CSRF:
Visualizacin del ejercicio online:
http://webappsecmovies.sourceforge.net/webgoat/movies/WebGoat_XSS_XSRF/
Url para descarga del video:
http://sourceforge.net/projects/webappsecmovies/files/web/webgoat/WebGoat_XSS_XSRF.zip/download
El encabezado de la leccin dice: El objetivo es enviar un correo electrnico a un grupo de noticias que
contiene una imagen cuya URL est apuntando a una peticin maliciosa. Las condiciones es que la imagen
tenga un tamao de 1x1 pixeles y que la URL debe apuntar a la leccin CSFR con un parmetro adicional
Fondos de transferencia = 4000. Es un ejercicio que muestra como se puede robar una autenticacin para
transferir fondos no autorizados.

9. Evidencie la codificacin UTF a enviar. Justifique por que se deben codificar y por qu con UTF-8
10. Muestre cul fue el mensaje que envi
11. Muestre la captura de la cabecera GET (con las opcin de interceptar solicitudes)
12. Formule una solucin justificada a este tipo de vulerabilidad.
Finalmente crear un sitio web que le permita en un entorno real verificar lo aprendido en las plataformas
de prueba. Para ello, proceda:
Instale y administre su propio servidor CMS Joomla, entonces pude registrarse en un servicio gratuito que le ofrezca
el CMS listo para que Ud cargue una web: Puede usar el que prefiera o si ya tiene uno que le permita realizar la
prctica, lo puede hacer.
Uno de ellos es: (registro y creacin de cuenta en;): www.hostinger.com
Una vez haya registrado su cuenta, le solicita crear un nombre de dominio. Para le ejercicio si Ud
por ejemplo pertenece al grupo 5: entonces el nombre a crear es 5seguridadweb.
Esta cuenta le servir despus para crear otros dominios o borrar el que cre despus de realizada
la prctica. Una vez creado, en el panel de administracin del dominio, ubique el auto installer:
para acceder al instalador del CMS Joomla.

Puede crear su sitio en cualquiera de los CMS que le da el servicio web gratuito, (el que desee, si
quiere experimentar con otro tipo de CMS) como se muestra en la figura:
Evidencie los siguientes procedimientos

13. Realice el login como administrador al sitio. Y ubquese en el bloque de administracin de usuarios
(para crear un usuario nuevo).
14. Lance CSRFTester para capturar las peticiones del sitio
15. Genere el HTML que va a modificar las credenciales del usuario creado. Muestre los cambios en el
cdigo
16. Evidencie la falsificacin de credenciales (acceso al sitio) y en el panel de administracin de

usuarios.
EJERCICIO 3: FILE INCLUSION (LFI) & (RFI)
LFI = Local File Inclusion

RFI= Remote File Inclusion
Esta vulnerabilidad es la que permite la ejecucin de archivos locales o desde otros sitios (remotos) en el
servidor web. La vulnerabilidad se presenta en pginas web PHP y se producen a causa de una mala
programacin haciendo uso de las funciones include, include_once, require, require_once y fopen (en el
caso particular de RFI) con parmetros procedentes del usuario.
1. Explique concretamente a nivel de seguridad, que objetivo o que caracterstica tienen estas funciones. De
un ejemplo sencillo.
Para demostrar inicialmente esta vulnerabilidad, se va cargar DVWA en el nivel de seguridad low. Ese nivel se
implementa pr ejemplo este cdigo altamente vulnerable
2. En el nivel mdium solo permite el ataque LFI. Identifique el cdigo de nivel mdium y explique cul es la
diferencia para que permita solo este ataque.
3. En el nivel high no permite LFI ni RFI. Identifique el cdigo y explique cul es la diferencia para que no
permita estos ataques.
Con este cdigo un usuario cualquiera podra cambiar en la URL de la pgina web el fichero a incluir en la
pgina, pudiendo, por ejemplo, incluir en la pgina un fichero cualquiera del servidor local (LFI) y tener acceso
al mismo o un script alojado en un servidor externo y que ste se ejecutase en el servidor web (RFI). Que es
en realidad lo que vamos hacer en este ejercicio.
Primero evidenciemos algunas intrusiones en DVWA: En primer lugar se llevar a cabo una sencilla
comprobacin para confirmar que la aplicacin PHP es vulnerable a este tipo de ataque cambiando en la URL
el fichero que se incluir en la pgina web mediante la funcin include() remplazando el valor del parmetro
page por una barra invertida (/).
4. En la barra URL de DVWA para esta vulnerabilidad, se carga:
http://dvwa/vulnerabilities/fi/?page=include.php

Cmbielo por http://dvwa/vulnerabilities/fi/?page=/
Evidencie y documente el resultado explicando siempre a nivel de seguridad porque eso es un riesgo
5. Inclusin de un fichero: http://dvwa/vulnerabilities/fi/?page=/etc/passwd
6. Inclusin RFI: http://dvwa/vulnerabilities/fi/?page=http://www.unad.edu.co

Con RFI a cambio de incluir una direccin URL externa, se va a incluir un Shell script que se ejecute
en el servidor web. Pare ello, vamos a bajar las siguientes Shell ya creadas del sitio http://r57.gen.tr/
(Hay muchos script Shell all, solo vamos a usar dos. Queda para que despus Ud ensaye y
documente los dems)
Descargue: R57shell y C99shell
Descomprmalos y aljelos localmente en la mquina que est ejecutando DVWA o en un sitio
externo accesible (puede ser otra mquina o una direccin web). Estos Shell script son detectados
en ambientes Windows como virus. Por ello tenga cuidado con la descarga. Se supone que no
hay problema ya que Ud est haciendo la prctica en un ambiente Linux.
7. En DVWA cargue el script Shell R57.php y evidencie el proceso:
http://dvwa/vulnerabilities/fi/?page=/rutadelscript/r47.php
8. Identifique de manera general que funcin hara ese script en el sitio cargado.
9. Identifique en el cdigo del script, una funcin especfica y explique su funcionamiento.
10. Ejecute esa funcin y evidencie el resultado en la pgina DVWA
Otro script Shell es el C99shell. Este script tiene muchas caractersticas entre ellas: permite listar
ficheros y sus atributos, cargar upload archivos, renombrar archivos, etc (como ven muy peligroso
para un servidor web). Estos Shell script en PHP son herramientas tan completas como un
webmin (es decir una interfaz completa para realizar muchas operaciones de forma administrativa
y ordenada)
Esta ruta fue la que us para cargarlo en DVWA
Y ac se muestra como dentro de las tantas funciones que tiene se carg otro script 233008.php.
es decir con upload permite cargar archivos al servidor web.

11. Evidencie el cargue del script y documente o explique una de las tantas funciones que tiene. Que
incidencias a nivel de riesgo o seguridad tiene.
12. Use una de las funciones del Shell script y aplquela, Evidencie lo realizado. (que no sea la de
upload)
13. Finalmente cree un Shell script PHP (muestre su cdigo), cuya funcin sea la de mostrar la versin
del sistema operativo en el que est el servidor web y listar los archivos del directorio donde se ubica
14. Cargue el Shell script creado y muestre su ejecucin.
15. Proponga y documente de manera concreta y clara que solucin implementara en un servidor web real
para evitar tanto LFI y RFI
EJERCICIO 4: MALICIOUS FILE EXECUTION (LFI) & (RFI) WEBGOAT
Esta vulnerabilidad permite que se ejecuten cdigos archivos maliciosos en diferentes formatos. (shells scrits)
como hjava, css, perl, php, asp, etc; en el servidor de la aplicacin. Esos cdigos se ejecutan usando los
formularios de la aplicacin para el cargue o subida de archivos como los qu se encuentran a menudo en los
foros de discusin basados en web y sitios de redes sociales
En el ejercicio siguiente se har uso de la aplicacin webgoat, especficamente en la leccin Malicious File
Execution). Que bsicamente trata de que mediante el uso del formulario le ermita subir supuestamente una
imagen, pero en realidad se va a subir un archivo deliberadamente malicioso
La leccin se termina, es decir se cumple con el objetivo de cargarle al servidor un archivo malicios, cuando
logre crear en su equipo un otro archivo llamado: / var / lib / tomcat6 / webapps / webgoat / MFE objetivo /
guest.txt

Procedimiento: Vaya a la pgina de este proyecto: https://code.google.com/p/fuzzdb/ : fuzzdb es la

mayor base de datos de cdigo abierto de entradas maliciosas, nombres de recursos predecibles,
cabeceras predecibles para los mensajes de respuesta del servidor y otros recursos como scripts web.
Descargue la coleccin de scripts shell malware para realizar diferentes pruebas de vulnerabilidad:
(tenga en cuenta que en ambientes Windows, estos scripts los antivirus los detectan como virus), por lo
que debe hacer estos procedimientos en ambientes Linux.
http://code.google.com/p/web-malware-collection/downloads/detail?name=web-malware-collection-1306-2012.tar.gz
1. Identifique brevemente que categoras de vulnerabilidad (y que significan cada una de ellas) y tipos de

archivos que encuentra all y que advertencias hay al respecto de su uso.
2. Se va a usar el cdigo malicioso dentro de la categora de Badoors: cd.jsp. Debe describir que hace el
cdigo o que funcin tiene.

3. Cargue el cdigo malicioso en el formulario. Con el debug frefox analice el cdigo html generado
4. Evidencie el src o que se haya cargado el cdigo como imagen:

<img border="0" vspace="0" hspace="0" src="uploads/cmd.jsp">
Explique por qu se carga supuestamente una imagen pero se est cargando un .jsp (en donde est la
vulnerabilidad) (que hacen esos archivos jsp)
5. Abra una nueva pestaa en el navegador y paste: (es la ruta de su webgoat o sea del sitio web vctima)
adicionndole la ruta del cdigo malicioso
http://127.42.84.3:8080/webgoat/uploads/cmd.jsp
Explique lo que se muestra en esa nueva URL y el origen del formulario cargado. Evidencie lo que ha cargado
6. Regrese a la pantalla de la prctica DE WEBGOAT: copie este texto que en realidad es la ruta donde va a
generar el archivo o subir e archivo al servidor local:
/var/lib/tomcat6/webapps/webgoat/mfe_target/guest.txt
Vaya al campo del formulario (punto 5) y cree el documento txt
touch /var/lib/tomcat6/webapps/webgoat/mfe_target/guest.txt
La leccin se termina, es decir se cumple con el objetivo de cargarle al servidor un archivo malicios, cuando
logre crear en su equipo un otro archivo llamado: / var / lib / tomcat6 / webapps / webgoat / MFE objetivo /

guest.txt. Finalmente evidencie que se ha generado el archivo
7. Proponga y caracterice una solucin para esta vulnerabilidad.

Para una nueva prueba de esa leccin, es decir reiniciar la leccin, solo debe borrar o renombrar el archivo
cargado / var / lib / tomcat6 / webapps / webgoat / MFE objetivo / guest.txt y posterormente en webgoat
reinicar sa leccin.
Finalmente realice los anteriores siete (7) items usando otro cdigo malicioso de la coleccin que ha
descargado.
EJERCICIO 5: SQL INJECTION
SQL Injection es una vulnerabilidad que permite a un atacante realizar consultas a una base de datos, se vale
de un incorrecto filtrado de la informacin que se pasa a travs de los campos y/o variables que usa un sitio
web, es por lo general usada para extraer credenciales y realizar accesos ilegtimos, prctica un tanto nefita,
ya que un fallo de este tipo puede llegar a permitir ejecucin de comandos en el servidor, subida y lectura de
archivos, o peor an, la alteracin total de los datos almacenados.
Una vulnerabilidad de tipo SQL Injection puede ser explotada de diferentes formas. Una de ellas es
manipulando cabeceras tanto a travs del mtodo GET como del mtodo POST. La prctica ms comn es
hacerlo a travs del primero, sin embargo hacerlo a travs del mtodo POST puede llegar a devolver los
mismos resultados. La intrusin se puede llevar a cabo al ejecutar un programa vulnerable, ya sea, en
ordenadores de escritorio (es decir de foma local) o bien en sitios Web. El objetivo ms comn del cdigo
intruso es extraer toda la informacin posible de la base de datos, aunque tienen ms usos como puede ser el
iniciar sesin con la cuenta otro usuario, subir una shell al servidor, etc.
Para este ejercicio, inicialmente vamos a trabajar con DVWA para evidenciar de forma prctica y sencilla como
funciona este tipo de inyeccin de cdigo SQL. Para ello, lance VWA en el nivel de seguridad low y sin login o
credenciales de acceso. En el nivel de seguridad low el cdigo fuente (en PHP) vulnerable es el que se
muestra a continuacin:

1. Explique en donde est la vulnerabilidad inmersa en el cdigo:

Una forma rpida y sencilla de ver si la pgina tiene una vulnerabilidad del tipo SQL Injection es introducir una
comilla simple, en el caso de tener este tipo de vulnerabilidad va a devolver un error de SQL. Y as con muchos
otros comandos de inyeccin.
Para la siguiente lista de comandos de inyeccin:
1 OR 1=1--
1 OR 1 =1
OR =
OR 1=1--
OR 0=0--
OR x =x
EXEC XP_
AND 1=1
1AND 1=(SELECT COUNT(*) FROM tablenames);-1 AND USER_NAME() = dbo
UNI/**/ON SELECT ALL FROM WHERE
OR 1=1/*
2. En el campo User ID typee 1 por ejemplo. Ejecute cada uno de los anteriores cdigos y evidencie el
resultado con el respectivo anlisis de lo encontrado.
3.
Inyecte el cdigo necesario para: (evidencie el resultado)

Mostrar la versin de la base de datos
Mostrar el nombre de la base de datos que ad ministra o almacena los datos del formulario
Mostrar el nombre de usuario
Mostrar el nombre del host
Mostrar el directorio de la base de datos
Mostrar la lista de tablas de la base de datos
Obtener la contrasea de cada uno de los usuarios de la base de datos. Seguramente
estar encriptada en md5. Utilice algn servicio en lnea o aplicacin para
desencriptarlas
El nivel de seguridad mdium de DVWA implementa el siguiente cdigo PHP

4. Identifique la diferencia con el cdigo en PHP del nivel low y justifquela.
5. Ejecute en ese nivel los cdigos de inyeccin del tem 1 y 3. Indique cules se permitieron ejecutar y
cules no. Evidencie lo arrojado luego de la inyeccin del cdigo en caso de obtener resultados diferentes.
Documente por que la inyeccin tuvo xito y por qu no.
6. Muestre el cdigo PHP del nivel de seguridad high y analice las diferencias con los dems niveles en
cuanto a funciones y directivas y el papel que juegan en aspectos de vulnerabilidades.
7. Caracterice el tipo de directivas PHP son usadas para evitar los ataques SQL Injection. Finalmente
describa los aspectos a considerar bsicos para proteger aplicaciones de un SQL Injection
EJERCICIO 6: SQL INJECTION (BLIND)
Este tipo de ataque es similar al SQL Injection. Para esta prctica haremos uso de Mutillidae.
Procedimiento:
El siguiente sitio web est diseado deliberadamente vulnerable con fines acadmicos y de
formacin en el rea de seguridad.
Aplicaciones web diseadas especficamente para ensear las nociones bsicas sobre seguridad web,
cubriendo XSS, CSRF, RFI y LFI, fuerza bruta en autenticacin, path traversal, ejecucin de comandos e
inyeccin SQL:
Mutillidae (http://www.irongeek.com/i.php?page=mutillidae/mutillidae-deliberately-vulnerable-php-owasp-top-10).
Mutillidae viene instalada o disponible dentro de las aplicaciones de SAMURAI LINUX, Viene con la versin
1.3. Pero para poder realizar la prctica deber actualizarla a la versin 2.6.19. Aunque si logra evidenciar el
SQL Injection Blind con la versin 1.3 estara correcto.

Puede realizar el proceso de actualizacin a la versin 2.6.19 solamente descargando el paquete y

reemplazndolo en el directorio donde apache carga los paths para los servicios web.
O si o prefiere puede realizar la instalacin en un entorno Microsoft Windows. Para ello, debe descargar
XAMPP en su versin actualizada:
El paquete mutillidae lo descomprima dentro de la carpeta /var/htdocs/mutillidae (en Windows). Al cargar
la aplicacin le solicitar que actualice la base de datos de la aplicacin.
Finalmente la aplicacin cargar en la versin actualizada.

Dentro de las lecciones que trae Mutillidae, (ingrese sin registro ni login de usuario en la aplicacin) en la
seccin A1- SQL Injection, encuentra otra Blind SQL va Timing. Especficamente va a usar el de
formularios para login. En el formulario de User Lookup en el campo de name inyecte una comilla simple o
un cdigo que le permita identificar el SELECT de usuario y o contrasea (pruebe con: or 1=1 -- )
1. Identifique las salidas obtenidas o si es el caso enfquese en el campo SELECT (lo arrojado).
2. A travs de este tipo de inyeccin, (A1- SQL Injection, encuentra otra Blind SQL va Timing.
Especficamente va a usar el de formularios para login.) consiga loguearse como administrador en
mutillidae. Evidencie el proceso. O en el Home de Mutillidae, de clic en login/register como si fuera a
registrarse dentro de la aplicacin (ver en la parte superior del men de la aplicacin no register). En el
campo name inyecte una comilla simple o or 1=1 -- y evidencie o justifique el resultado.
3. Consiga el login a multillidade de algn usuario ya creado que no sea administrador (para ello descubra
primero usuarios para saber que cuentas existen). El login a multilidae hgalo inyectando cdigo o
modificando parmetros como: <input type=input size=100 maxlenght=500 name=password>
4. Pruebe la inyeccin de este cdigo para la categora SQL Injection Blind en Mutillidae y justifique lo
encontrado. Use alguno de estos cdigos o alguno que le pueda arrojar la vulnerabilidad.
Or 1=1
haviing 1=1
OR ''x''=''x

5. Analizando los desarrollos anteriores, documente en que cosiste el ataque SQL Injection Blind. Que
diferencias hay con un ataque SQL Injection y muestre en que ejercicio encontr esa diferencia. Que
significa que a pesar de estar presente la vulnerabilidad SQL Injection Blind, al inyectar ciertos cdigos no
se arrojen mensajes de error.
6. Muestre una inyeccin de cdigo SQL en Mutillidae que arroje mensajes correctos de validacin.
7. Caracterice y justifique una solucin para este tipo de inyeccin.
8. Escoja una de estas tres prcticas adicionales de SQL Injection que implementa Mutillidae:
SQLi Extra Data
SQLi Insert Injection
SQLMAP Practice
Evidencie la prctica, muestre el proceso realizado y caractercela, documentando lo
encontrado y las incidencias que esta vulnerabilidad tendra en un entorno real.
EJERCICIO 7: FILE UPLOAD
La vulnerabilidad que se tratar en esta prctica, es evidente cuando en los sitios web se presentan formularos
para el cargue o subida de archivos (de cualquier tipo ya sea multimedia, imgenes, texto, etc) (muy tpico en
plataformas educativas y redes sociales) pudiendo llegar a convertirse en una puerta abierta a todo el sistema
donde est alojada la pgina web. Solo que aprovechando este recurso del cargue de archivos, un atacante
podra subir cdigo malicioso, como por ejemplo una shell PHP, alojar archivos que se auto ejecuten en el
servidor o inundar el servidor con tamao de archivos y peticiones gigantes, modificando parmetros que
restringen el cargue de archivos como: tamao, dimensiones, extensiones entre otros.

Inicialmente evidenciaremos el comportamiento de esta vulnerabilidad haciendo uso de DVWA en su nivel

low cuyo el cdigo fuente vulnerable es el que se muestra a continuacin:
1.
Suba una imagen de prueba .jpg y verifique el cargue de la misma y el resultado (mensaje que arroja la
aplicacin). Identifique que vulnerabilidad encuentra en el cdigo.
Cree esta Shell escrita en PHP que ejecutar comandos en el sistema a travs de la funcin system():
2. Suba ese shell script (nmbrelo como 233008.php). Evidencie el proceso, la ruta donde lo carg. Luego en
otra pestaa del navegador realice consultas al sistema indicando el objetivo de la consulta realizada.
El nivel mdium de seguridad de DVWA ya no permitir subir archivos que no sean imgenes y con
ciertas restricciones. Sin embargo se va a subir el mismo Shell creado anteriormente usando la
extensin Tamper Data de Firefox (https://addons.mozilla.org/en-us/firefox/addon/tamper-data/).
Cuando suba nuevamente la Shell en el formulario que solo es para cargue de imgenes .jpg, le
solicitar sobrescribir o modificar el archivo.
3. Antes de enviar el formulario debe modificar la peticin HTTP POST que ser enviada al servidor:

Como los ficheros PHP no son aceptados por el script de carga de imgenes, se modifica el encabezado
Content-Type con el tipo de fichero aceptado por el servidor, esto es, se sustituir application/xphp por
image/jpeg: Que hacen esos encabezados en el cdigo PHP?. Que otros tipos de peticiones diferentes
a POST podran utilizarse
4. Realice el cambio y cargue la Shell evidenciando el mensaje obtenido. Que funcin hace Tamper Data
en el proceso. Con que otra aplicacin podra modificar los encabezados Content-Type.
5. Luego en otra pestaa del navegador realice consultas al sistema indicando el objetivo de la consulta.
OWASP Mutillidae II permite evidenciar este tipo de vulnerabilidad, implementado shells script maliciosos
ya creados y que muestran el poder y alcance que tiene esta vulnerabilidad.
Selecciones un Shell script malicioso de los que tiene Mutillidae en el men de Owasp 2007

6. Explique el cdigo PHP que lo implementa y el tipo de accin que ejecuta el Shell. O si prefiere seleccione
alguno del sitio : http://r57.gen.tr/ . O en su defecto disee uno.
7. Cargue el Shell creado al servidor (Upload en Mutillidae) y evidencie el proceso. Identifique que respuestas
da el servidor cuando se carga el archivo
8. Ejecute alguna funcin del Shell script escogido y evidencie el resultado de la vulnerabilidad perpetrada
9. Formule y caracterice una solucin a este tipo de vulnerabilidad
EJERCICIO 8: XSS REFLECTED
La vulnerabilidad que se tratar en esta prctica, compromete la seguridad del usuario y no la del servidor.
Procedimiento: Se har uso de las configuraciones de DVWA para la prctica de XSS y de Webgoat
1. Caracterice la vulnerabilidad. Apoyado en las configuraciones de los niveles de seguridad de DVWA
(low, mdium , high), identifique las configuraciones PHP de esos niveles para Cross-site scripting
(XSS). Identifique en cada nivel en que parte del cdigo PHP est reflejada la vulnerabilidad.
Para ejemplificar este tipo de vulnerabilidad DVWA presenta una pgina en la que se solicita un nombre a
travs de un formulario. Una vez enviado, el script muestra la cadena de texto Hello nombre_enviado.
El siguiente script al ser envido desde el formulario arrojar para la salida de usuario el mensaje ubicado dentro
de
Cdigo 1
<script>alert("Pagina vulnerable por XSS")</script>
Tambin introduciendo cdigo HTML se puede mostrar una imagen en lugar de una cadena de texto como
sera de esperar:
Cdigo 2
<img src=http://rura de la imagen.jpg alt="descripcion" />
Muchos delincuentes informticos, hackers o simplemente personas dedicadas al robo o manipulacin de

datos suelen usar imgenes alusivas a su trabajo de hackeo (que inundan sitios o que las usan para mostrar
su intrusin), Imgenes tpicas como la de anonymous entre otros son:

Es obvio que el alojamiento de esas imgenes estar de forma annima o en servicios que no requieran un
registro o identificacin de acceso. El delincuente informtico lo hace para que no sea rastreado.
Por ejemplo revise esta URL: http://www.irongeek.com/images/jollypwn.png
2. Disee una imagen alusiva a una intrusin o hackeo (De su autora y al gusto suyo). Para ello,
asuma que Ud es un delincuente informtico y quiere mostrar en imagen su venganza. (Esto se hace
con fines educativos, y en su ejercicio profesional nunca deje de lado su cultura tica de hacking)
Aljela en un sitio que no requiera registro de acceso o que no requiera credenciales de acceso para el
cargue de la imagen, Recuerde que esto para un delincuente informtico no sera viable.
Uso uno diferente a este, que suele ser muy usado pero permite rastreo: http://cc.cc/
O se podra mostrar al usuario un enlace a un sitio externo
Cdigo 3
<a href="http://www.unad.edu.co/">UNIVERSIDAD NACIONAL ABIERTA Y A
DISTANCIAUNAD</a>
3. En Webgoat, ejecute los anteriores cdigos (1,2 y 3) y evidencie el resultado. El cdigo que le
carga la imagen al sitio vulnerado por XSS debe contener la imagen que ha diseado.
4. El desarrollo de la leccin que trae Webgoat para un bsico Reflected XSS Attacks la puede
descargar o visualizar en:
Visualizar: http://webappsecmovies.sourceforge.net/webgoat/movies/WebGoat_XSS_ReflectedXSS/
Descarga: http://sourceforge.net/projects/webappsecmovies/files/web/webgoat/WebGoat_XSS_ReflectedXSS.zip/download
Desarrolle la leccin, evidencie el proceso
5. Justifique la estructura del cdigo inyectado y del por qu su codificacin
6. Realice una prctica de XSS de la que le ofrece Mutillidae en la seccin A3. Evidencie el
proceso y caracterice la vulnerabilidad.
7. Formule y caracterice una solucin para esta vulnerabilidad

EJERCICIO 9: XSS STORED
Al igual que en el caso de XSS reflejcted, esta vulnerabilidad compromete la seguridad del usuario y no la del
servidor. XSS stored, tambin llamado XSS directo o persistente, consiste en embeber cdigo HTML o
Javascript en una aplicacin web pudiendo llegar incluso a modificar la propia interfaz de un sitio web
(defacement).
1. Justifique porque se le llama persistente y de un ejemplo de cmo actuara en un sitio web (caracterice la
vulnerabilidad)
Procedimiento: Esta vulnerabilidad suele aplicarse en logs, por ejemplo en formularios que contengan dos
campos usados por ejemplo para enviar comentarios, solicitudes, libros de visitas entre otros.: Uno para
introducir el nombre y otro para escribir le mensaje o comentario.
Debe usar las tres aplicaciones que le ofrecen lecciones de XSS Stores (Mutillidae, DVWA y Webgoat). En la
que pueda evidenciar o realizar lo siguiente:
2. Identifquese con su nombre e introduzca un comentario en el campo destinado para ello (Deben ser los
nombres de los 5 integrantes del grupo). Evidencie que eso se guard en la base de datos (as funciona XSS
stored) o muestre la salida de los comentarios cada vez que cargue la pgina nuevamente.
3. Compruebe en la aplicacin (prctica o ejercicio) si es vulnerable a XSS. Para ello puede introducir el
siguiente tag HTML en el campo del comentario para que se lance una ventana de alerta Javascript: De tal
manera que quede guardado ese comentario en la BD y cada vez que se cargue de la pgina, se visualice
esa ventana emergente de alerta.
<script> alert("Es vulnerable a XSS Stored")</script>
Desde Mutillidae:

4. En el campo del mensaje, escriba Tags o etiquetas HTML que hagan un Deface al sitio. Justifique el
cdigo escrito y lo que significa un Deface. Tags HTMl pueden ser: <div> <table> <br> (Hay muchos
que pueden darle formato auna pgina web y por ende destruirle su diseo)
5. En el campo del autor del mensaje, escriba el siguiente cdigo
<SCRIPT language="javascript">window.location="http://www,unad.edu.co";</SCRIPT>
Evidencie que en la base de datos se ha escrito el cdigo. Justifique lo realizado o caracterice el resultado.
6. Realice la prctica (laboratorio) que implementa Webgoat: Stored XSS Attacks

Visualizacin: http://webappsecmovies.sourceforge.net/webgoat/movies/WebGoat_XSS_StoredXSS/
Descarga: http://sourceforge.net/projects/webappsecmovies/files/web/webgoat/WebGoat_XSS_StoredXSS.zip/download
Evidencie el proceso y la explicacin de los pasos realizados y caracterice lo realizado, explique el objetivo de
la prctica y los resultaos obtenidos.
7. Realice la prctica (laboratorio) que implementa Webgoat: Stored XSS Attacks Stage1
Visualizacin: http://webappsecmovies.sourceforge.net/webgoat/movies/WebGoat_XSSLab_Stage1/
Descarga: http://sourceforge.net/projects/webappsecmovies/files/web/webgoat/WebGoat_XSSLab_Stage1.zip/download
8. Realice la prctica (laboratorio) que implementa Webgoat: Stored XSS Revisited

9. Realice la prctica (laboratorio) que implementa Webgoat: Block Stored XSS using Output Encoding

10. Formule y caracterice una solucin para estas vulnerabilidades XSS Stored.
Recomendaciones
Recuerde que el grupo debe hacer la seleccin del ejercicio a realizar (uno solo) Para ello debe
diligenciar el documento compartido e informar en el foro de construccin de la actividad, el ejercicio a
realizar :
Leer cuidadosamente las indicaciones registradas en los foros (noticias del curso, foro general, foro del
trabajo colaborativo), por parte del director, para el adecuado desarrollo de los diferentes ejercicios
propuestos
Consultar con su tutor, cada vez que lo requiera, para aclarar dudas e inquietudes que se presenten en
el proceso.
Avanzar con el desarrollo de las actividades solicitadas en cada uno de los momentos de acuerdo a las
fechas registradas en la agenda.
Asistir a las sesiones web conference sncronas acorde a la agenda de acompaamiento plasmada en el
aula
Cordialmente
Ing. (msc). Carlos Alberto Amaya Tarazona
Director aula
Lo importante no es el tiempo, lo importante es lo que se hace con l

Guia Momento 4 233008 2015 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Momento 4 233008 2015 1

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

EJERCICIO 1: COMMAND EXECUTION VULNERABILITY.

Con || (doble barra u

hace que la salida del primero se convierta en la

[root@server ~]# cmd1 | cmd2

El segundo comando se ejecutar si el primero termina [root@server ~]# cmd1 || cmd2

[root@server ~]# cmd1 && cmd2

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

La estructura de estos niveles est dispuesta en el directorio source:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

y mdium y que funciones se

Ingreso a webgoat (user: guest ; password : guest)

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Evidencie la inyeccin del cdigo

EJERCICIO 2: CSFR (CROSS-SITE REQUEST FORGERY) XSRF

(le suelen llamar: Enlace hostil, ataque de un clic, captura de sesin)

Es una extensin de Firefox creada y diseada especialmente para desarrolladores y

O puede usar WebScarab

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

12. Formule una solucin justificada a este tipo de vulerabilidad.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

16. Evidencie la falsificacin de credenciales (acceso al sitio) y en el panel de administracin de

EJERCICIO 3: FILE INCLUSION (LFI) & (RFI)

LFI = Local File Inclusion

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

6. Inclusin RFI: http://dvwa/vulnerabilities/fi/?page=http://www.unad.edu.co

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

EJERCICIO 4: MALICIOUS FILE EXECUTION (LFI) & (RFI) WEBGOAT

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Procedimiento: Vaya a la pgina de este proyecto: https://code.google.com/p/fuzzdb/ : fuzzdb es la

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

4. Evidencie el src o que se haya cargado el cdigo como imagen:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

7. Proponga y caracterice una solucin para esta vulnerabilidad.

EJERCICIO 5: SQL INJECTION

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

1. Explique en donde est la vulnerabilidad inmersa en el cdigo:

Inyecte el cdigo necesario para: (evidencie el resultado)

El nivel de seguridad mdium de DVWA implementa el siguiente cdigo PHP

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

EJERCICIO 6: SQL INJECTION (BLIND)

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Puede realizar el proceso de actualizacin a la versin 2.6.19 solamente descargando el paquete y

Finalmente la aplicacin cargar en la versin actualizada.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

EJERCICIO 7: FILE UPLOAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Inicialmente evidenciaremos el comportamiento de esta vulnerabilidad haciendo uso de DVWA en su nivel

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

EJERCICIO 8: XSS REFLECTED

Muchos delincuentes informticos, hackers o simplemente personas dedicadas al robo o manipulacin de

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

7. Formule y caracterice una solucin para esta vulnerabilidad

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

EJERCICIO 9: XSS STORED