Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La caracterstica de esta vulnerabilidad es la de permitir ejecutar comandos de consola desde la web, pudiendo
as ver, modificar y eliminar archivos y directorios del servidor donde se aloja la administracin del sitio. El
alcance de esta vulnerabilidad, est dado por los permisos que tenga un usuario legtimo logueado en el sitio.
As este usuario podr ejecutar comandos Apache acorde a su nivel de administracin.
Los comandos usados suelen ser concatenados y son enviados a travs de formularios del sitio web a travs
del campo input. Ejemplos de concatenacin de comandos son entre otros:
Con | (barra sencilla)
Con & (ampersand)
El procedimiento que se va a realizar para comprobar esta vulnerabilidad haciendo uso de DVWA es el
siguiente:
DVWA cuando se carga sin la opcin de dvwa-nologin, (es decir sin ingresar credenciales de acceso),
muestra las diferentes vulnerabilidades con las que se pude practicar: brute, exec, aqli, uplad, xss, csrf, fi.
Para la vulnerabilidad que se est trabajando, (exec) (ejecucin de comandos o command execution), se carga
el directorio que muestra el archivo index.php.
Para esta vulnerabilidad, dvwa la puede cargar en tres niveles de seguridad: (low, mdium , high)
Cada nivel est configurado con script en php as: (el del nivel bajo low)
Este script permite al visitante realizar ping a una IP (o host) a travs de un formulario y a simple vista podra
parecer bastante inocuo. Sin embargo, la informacin enviada a travs del campo input del formulario no es
tratada antes de llevar a cabo su ejecucin por parte del servidor, por lo que un usuario malintencionado podra
aprovecharse para ejecutar otros comandos diferentes usando la concatenacin de comandos.
En el nivel low ejecute:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
;pwd
|| ls-l /
192.18.10.1 (cambie la IP por la del localhost de su mquina)
192.168. 0.10 && cat /proc/cpuinfo (cambie la IP por la del localhost de su mquina)
& cat /etc/password
; ls l ../ (Encuentre un directorio que tenga todos los permisos de usuario y cargue un archivo local,
luego muestre que al directorio le fue cargado el archivo).
192.168.0.1 cat /etc/passwd | tee /tmp/passwd
127.0.0.1 & dir
Adicione un Nuevo usuario administrador al sistema, posterior a ello evidencie el login de usuario
creado en DVWA.
Ejecutar un comando remoto
Para cada comando (tem a realizar) ejecutado, muestre la captura y: Documente o explique lo encontrado. A
nivel de seguridad, como podra explotarse lo encontrado.
Cuando usa la IP, en un entorno real, cul IP sera?
El script que se implementa en el nivel de seguridad mdium es el siguiente:
11. Explique que diferencia hay con el nivel de seguridad low y que funciones se implementan con sus
objetivos. Que seguridad se incrementa.
12. Por qu esta medida sigue siendo ineficaz para el uso de ciertos comandos u operadores
(demustrelo con un ejemplo)
El script que se implementa en el nivel de seguridad high es el siguiente:
13. Explique qu diferencia hay con el nivel de seguridad low
implementan con sus objetivos. Que seguridad se incrementa.
Ahora que ya pudo evidenciar como trabaja la ejecucin de comandos en un formulario de un sitio web,
se va a usar otra modalidad de este tipo de ataque:
Webgoat es otra de las aplicaciones que nos permite hacer prcticas con este tipo de vulnerabilidad.
(Command Injection) (es decir inyectando comandos). La misma suite webgat nos muestra todas las
soluciones a cada ejercicio. Para este caso realice el ejercicio que se muestra en la solucin
suministrada por webgoat:
Visualizacin: http://webappsecmovies.sourceforge.net/webgoat/movies/WebGoat_InjectionFlaws_CommandInjection/
Descarga:
http://sourceforge.net/projects/webappsecmovies/files/web/webgoat/WebGoat_InjectionFlaws_CommandInjection.zip/download
Falsificacin de peticin de sitios cruzados es otra de las vulnerabilidades tpicas de las aplicaciones web que
est enmarcada dentro del TOP 10 de OWASP. Es un tipo de exploit en el que comandos no autorizados son
transmitidos por un usuario en el cual el sitio web confa.
Esta vulnerabilidad se hace efectiva cuando un sitio web permite a un usuario autenticado realizar acciones
consideradas como sensibles sin comprobar que realmente es el usuario quien las est invocando
conscientemente. En su lugar, la aplicacin simplemente comprueba que la peticin proviene del navegador
autorizado de dicho usuario.
De este modo, y dado que los navegadores ejecutan simultneamente cdigo enviado por mltiples sitios web,
existe el riesgo de que un sitio web (sin el conocimiento del usuario) enve una solicitud a un segundo sitio web
y ste interprete que la accin ha sido autorizada por el propio usuario.
HERRAMIENTAS QUE SE VA A USAR:
Firebug
http://getfirebug.com/
FoxyProxy
http://getfoxyproxy.org/
OWASP CSRFTester
https://www.owasp.org/
index.php/File:CSRFTe
ster-1.0.zip
La primera parte de este ejercicio se desarrollar haciendo uso de la aplicacin para pruebas y ejercicios
DVWA.
Ingrese a DVWA identificndose con el usuario admin y la contrasea password (en un nivel de seguridad
5.
Evidencia la accin cunado al dar clic sobre la imagen o el link falseado a travs del navegador web
le ha redirigido a la pgina de cambio de contrasea y que no se muestra ningn mensaje referente
al cambio de la misma.
6. Como la cookie de navegador ha caducado, al iniciar sesin con la contrasea antigua, generar
error Login failed.
7. Use la herramienta Firebug para modificar el campo de contrasea y transformarla en un campo de
tipo texto para que sta sea legible.
8.
Compruebe que, efectivamente, la contrasea fue cambiada llevando a cabo una autenticacin en el
sistema con el usuario admin y la nueva contrasea.
Ahora que se ha dado cuenta y evidenciado como acta esa vulnerabilidad, se va hacer uso de Webgoat
para identificar algunas extensiones y alcances adicionales de CSRF, Para ello se va apoyar en el
desarrollo y solucin que ofrece webgoat para el ejercicio CSRF:
Visualizacin del ejercicio online:
http://webappsecmovies.sourceforge.net/webgoat/movies/WebGoat_XSS_XSRF/
Url para descarga del video:
http://sourceforge.net/projects/webappsecmovies/files/web/webgoat/WebGoat_XSS_XSRF.zip/download
El encabezado de la leccin dice: El objetivo es enviar un correo electrnico a un grupo de noticias que
contiene una imagen cuya URL est apuntando a una peticin maliciosa. Las condiciones es que la imagen
tenga un tamao de 1x1 pixeles y que la URL debe apuntar a la leccin CSFR con un parmetro adicional
Fondos de transferencia = 4000. Es un ejercicio que muestra como se puede robar una autenticacin para
transferir fondos no autorizados.
9. Evidencie la codificacin UTF a enviar. Justifique por que se deben codificar y por qu con UTF-8
10. Muestre cul fue el mensaje que envi
11. Muestre la captura de la cabecera GET (con las opcin de interceptar solicitudes)
Finalmente crear un sitio web que le permita en un entorno real verificar lo aprendido en las plataformas
de prueba. Para ello, proceda:
Instale y administre su propio servidor CMS Joomla, entonces pude registrarse en un servicio gratuito que le ofrezca
el CMS listo para que Ud cargue una web: Puede usar el que prefiera o si ya tiene uno que le permita realizar la
prctica, lo puede hacer.
Uno de ellos es: (registro y creacin de cuenta en;): www.hostinger.com
Una vez haya registrado su cuenta, le solicita crear un nombre de dominio. Para le ejercicio si Ud
por ejemplo pertenece al grupo 5: entonces el nombre a crear es 5seguridadweb.
Esta cuenta le servir despus para crear otros dominios o borrar el que cre despus de realizada
la prctica. Una vez creado, en el panel de administracin del dominio, ubique el auto installer:
para acceder al instalador del CMS Joomla.
Puede crear su sitio en cualquiera de los CMS que le da el servicio web gratuito, (el que desee, si
quiere experimentar con otro tipo de CMS) como se muestra en la figura:
Evidencie los siguientes procedimientos
13. Realice el login como administrador al sitio. Y ubquese en el bloque de administracin de usuarios
(para crear un usuario nuevo).
14. Lance CSRFTester para capturar las peticiones del sitio
15. Genere el HTML que va a modificar las credenciales del usuario creado. Muestre los cambios en el
cdigo
Para demostrar inicialmente esta vulnerabilidad, se va cargar DVWA en el nivel de seguridad low. Ese nivel se
implementa pr ejemplo este cdigo altamente vulnerable
2. En el nivel mdium solo permite el ataque LFI. Identifique el cdigo de nivel mdium y explique cul es la
diferencia para que permita solo este ataque.
3. En el nivel high no permite LFI ni RFI. Identifique el cdigo y explique cul es la diferencia para que no
permita estos ataques.
Con este cdigo un usuario cualquiera podra cambiar en la URL de la pgina web el fichero a incluir en la
pgina, pudiendo, por ejemplo, incluir en la pgina un fichero cualquiera del servidor local (LFI) y tener acceso
al mismo o un script alojado en un servidor externo y que ste se ejecutase en el servidor web (RFI). Que es
en realidad lo que vamos hacer en este ejercicio.
Primero evidenciemos algunas intrusiones en DVWA: En primer lugar se llevar a cabo una sencilla
comprobacin para confirmar que la aplicacin PHP es vulnerable a este tipo de ataque cambiando en la URL
el fichero que se incluir en la pgina web mediante la funcin include() remplazando el valor del parmetro
page por una barra invertida (/).
4. En la barra URL de DVWA para esta vulnerabilidad, se carga:
http://dvwa/vulnerabilities/fi/?page=include.php
Y ac se muestra como dentro de las tantas funciones que tiene se carg otro script 233008.php.
es decir con upload permite cargar archivos al servidor web.
11. Evidencie el cargue del script y documente o explique una de las tantas funciones que tiene. Que
incidencias a nivel de riesgo o seguridad tiene.
12. Use una de las funciones del Shell script y aplquela, Evidencie lo realizado. (que no sea la de
upload)
13. Finalmente cree un Shell script PHP (muestre su cdigo), cuya funcin sea la de mostrar la versin
del sistema operativo en el que est el servidor web y listar los archivos del directorio donde se ubica
14. Cargue el Shell script creado y muestre su ejecucin.
15. Proponga y documente de manera concreta y clara que solucin implementara en un servidor web real
para evitar tanto LFI y RFI
Esta vulnerabilidad permite que se ejecuten cdigos archivos maliciosos en diferentes formatos. (shells scrits)
como hjava, css, perl, php, asp, etc; en el servidor de la aplicacin. Esos cdigos se ejecutan usando los
formularios de la aplicacin para el cargue o subida de archivos como los qu se encuentran a menudo en los
foros de discusin basados en web y sitios de redes sociales
En el ejercicio siguiente se har uso de la aplicacin webgoat, especficamente en la leccin Malicious File
Execution). Que bsicamente trata de que mediante el uso del formulario le ermita subir supuestamente una
imagen, pero en realidad se va a subir un archivo deliberadamente malicioso
La leccin se termina, es decir se cumple con el objetivo de cargarle al servidor un archivo malicios, cuando
logre crear en su equipo un otro archivo llamado: / var / lib / tomcat6 / webapps / webgoat / MFE objetivo /
guest.txt
1. Identifique brevemente que categoras de vulnerabilidad (y que significan cada una de ellas) y tipos de
2. Se va a usar el cdigo malicioso dentro de la categora de Badoors: cd.jsp. Debe describir que hace el
cdigo o que funcin tiene.
3. Cargue el cdigo malicioso en el formulario. Con el debug frefox analice el cdigo html generado
5. Abra una nueva pestaa en el navegador y paste: (es la ruta de su webgoat o sea del sitio web vctima)
adicionndole la ruta del cdigo malicioso
http://127.42.84.3:8080/webgoat/uploads/cmd.jsp
Explique lo que se muestra en esa nueva URL y el origen del formulario cargado. Evidencie lo que ha cargado
6. Regrese a la pantalla de la prctica DE WEBGOAT: copie este texto que en realidad es la ruta donde va a
generar el archivo o subir e archivo al servidor local:
/var/lib/tomcat6/webapps/webgoat/mfe_target/guest.txt
Vaya al campo del formulario (punto 5) y cree el documento txt
touch /var/lib/tomcat6/webapps/webgoat/mfe_target/guest.txt
La leccin se termina, es decir se cumple con el objetivo de cargarle al servidor un archivo malicios, cuando
logre crear en su equipo un otro archivo llamado: / var / lib / tomcat6 / webapps / webgoat / MFE objetivo /
SQL Injection es una vulnerabilidad que permite a un atacante realizar consultas a una base de datos, se vale
de un incorrecto filtrado de la informacin que se pasa a travs de los campos y/o variables que usa un sitio
web, es por lo general usada para extraer credenciales y realizar accesos ilegtimos, prctica un tanto nefita,
ya que un fallo de este tipo puede llegar a permitir ejecucin de comandos en el servidor, subida y lectura de
archivos, o peor an, la alteracin total de los datos almacenados.
Una vulnerabilidad de tipo SQL Injection puede ser explotada de diferentes formas. Una de ellas es
manipulando cabeceras tanto a travs del mtodo GET como del mtodo POST. La prctica ms comn es
hacerlo a travs del primero, sin embargo hacerlo a travs del mtodo POST puede llegar a devolver los
mismos resultados. La intrusin se puede llevar a cabo al ejecutar un programa vulnerable, ya sea, en
ordenadores de escritorio (es decir de foma local) o bien en sitios Web. El objetivo ms comn del cdigo
intruso es extraer toda la informacin posible de la base de datos, aunque tienen ms usos como puede ser el
iniciar sesin con la cuenta otro usuario, subir una shell al servidor, etc.
Para este ejercicio, inicialmente vamos a trabajar con DVWA para evidenciar de forma prctica y sencilla como
funciona este tipo de inyeccin de cdigo SQL. Para ello, lance VWA en el nivel de seguridad low y sin login o
credenciales de acceso. En el nivel de seguridad low el cdigo fuente (en PHP) vulnerable es el que se
muestra a continuacin:
1 OR 1=1--
1 OR 1 =1
OR =
OR 1=1--
OR 0=0--
OR x =x
EXEC XP_
AND 1=1
1AND 1=(SELECT COUNT(*) FROM tablenames);-1 AND USER_NAME() = dbo
UNI/**/ON SELECT ALL FROM WHERE
OR 1=1/*
2. En el campo User ID typee 1 por ejemplo. Ejecute cada uno de los anteriores cdigos y evidencie el
resultado con el respectivo anlisis de lo encontrado.
3.
7. Caracterice el tipo de directivas PHP son usadas para evitar los ataques SQL Injection. Finalmente
describa los aspectos a considerar bsicos para proteger aplicaciones de un SQL Injection
Este tipo de ataque es similar al SQL Injection. Para esta prctica haremos uso de Mutillidae.
Procedimiento:
El siguiente sitio web est diseado deliberadamente vulnerable con fines acadmicos y de
formacin en el rea de seguridad.
Aplicaciones web diseadas especficamente para ensear las nociones bsicas sobre seguridad web,
cubriendo XSS, CSRF, RFI y LFI, fuerza bruta en autenticacin, path traversal, ejecucin de comandos e
inyeccin SQL:
Mutillidae (http://www.irongeek.com/i.php?page=mutillidae/mutillidae-deliberately-vulnerable-php-owasp-top-10).
Mutillidae viene instalada o disponible dentro de las aplicaciones de SAMURAI LINUX, Viene con la versin
1.3. Pero para poder realizar la prctica deber actualizarla a la versin 2.6.19. Aunque si logra evidenciar el
SQL Injection Blind con la versin 1.3 estara correcto.
Dentro de las lecciones que trae Mutillidae, (ingrese sin registro ni login de usuario en la aplicacin) en la
seccin A1- SQL Injection, encuentra otra Blind SQL va Timing. Especficamente va a usar el de
formularios para login. En el formulario de User Lookup en el campo de name inyecte una comilla simple o
un cdigo que le permita identificar el SELECT de usuario y o contrasea (pruebe con: or 1=1 -- )
1. Identifique las salidas obtenidas o si es el caso enfquese en el campo SELECT (lo arrojado).
2. A travs de este tipo de inyeccin, (A1- SQL Injection, encuentra otra Blind SQL va Timing.
Especficamente va a usar el de formularios para login.) consiga loguearse como administrador en
mutillidae. Evidencie el proceso. O en el Home de Mutillidae, de clic en login/register como si fuera a
registrarse dentro de la aplicacin (ver en la parte superior del men de la aplicacin no register). En el
campo name inyecte una comilla simple o or 1=1 -- y evidencie o justifique el resultado.
3. Consiga el login a multillidade de algn usuario ya creado que no sea administrador (para ello descubra
primero usuarios para saber que cuentas existen). El login a multilidae hgalo inyectando cdigo o
modificando parmetros como: <input type=input size=100 maxlenght=500 name=password>
4. Pruebe la inyeccin de este cdigo para la categora SQL Injection Blind en Mutillidae y justifique lo
encontrado. Use alguno de estos cdigos o alguno que le pueda arrojar la vulnerabilidad.
Or 1=1
haviing 1=1
OR ''x''=''x
8. Escoja una de estas tres prcticas adicionales de SQL Injection que implementa Mutillidae:
SQLi Extra Data
SQLi Insert Injection
SQLMAP Practice
Evidencie la prctica, muestre el proceso realizado y caractercela, documentando lo
encontrado y las incidencias que esta vulnerabilidad tendra en un entorno real.
La vulnerabilidad que se tratar en esta prctica, es evidente cuando en los sitios web se presentan formularos
para el cargue o subida de archivos (de cualquier tipo ya sea multimedia, imgenes, texto, etc) (muy tpico en
plataformas educativas y redes sociales) pudiendo llegar a convertirse en una puerta abierta a todo el sistema
donde est alojada la pgina web. Solo que aprovechando este recurso del cargue de archivos, un atacante
podra subir cdigo malicioso, como por ejemplo una shell PHP, alojar archivos que se auto ejecuten en el
servidor o inundar el servidor con tamao de archivos y peticiones gigantes, modificando parmetros que
restringen el cargue de archivos como: tamao, dimensiones, extensiones entre otros.
1.
Suba una imagen de prueba .jpg y verifique el cargue de la misma y el resultado (mensaje que arroja la
aplicacin). Identifique que vulnerabilidad encuentra en el cdigo.
Cree esta Shell escrita en PHP que ejecutar comandos en el sistema a travs de la funcin system():
2. Suba ese shell script (nmbrelo como 233008.php). Evidencie el proceso, la ruta donde lo carg. Luego en
otra pestaa del navegador realice consultas al sistema indicando el objetivo de la consulta realizada.
El nivel mdium de seguridad de DVWA ya no permitir subir archivos que no sean imgenes y con
ciertas restricciones. Sin embargo se va a subir el mismo Shell creado anteriormente usando la
extensin Tamper Data de Firefox (https://addons.mozilla.org/en-us/firefox/addon/tamper-data/).
Cuando suba nuevamente la Shell en el formulario que solo es para cargue de imgenes .jpg, le
solicitar sobrescribir o modificar el archivo.
3. Antes de enviar el formulario debe modificar la peticin HTTP POST que ser enviada al servidor:
OWASP Mutillidae II permite evidenciar este tipo de vulnerabilidad, implementado shells script maliciosos
ya creados y que muestran el poder y alcance que tiene esta vulnerabilidad.
Selecciones un Shell script malicioso de los que tiene Mutillidae en el men de Owasp 2007
6. Explique el cdigo PHP que lo implementa y el tipo de accin que ejecuta el Shell. O si prefiere seleccione
alguno del sitio : http://r57.gen.tr/ . O en su defecto disee uno.
7. Cargue el Shell creado al servidor (Upload en Mutillidae) y evidencie el proceso. Identifique que respuestas
da el servidor cuando se carga el archivo
8. Ejecute alguna funcin del Shell script escogido y evidencie el resultado de la vulnerabilidad perpetrada
9. Formule y caracterice una solucin a este tipo de vulnerabilidad
La vulnerabilidad que se tratar en esta prctica, compromete la seguridad del usuario y no la del servidor.
Procedimiento: Se har uso de las configuraciones de DVWA para la prctica de XSS y de Webgoat
1. Caracterice la vulnerabilidad. Apoyado en las configuraciones de los niveles de seguridad de DVWA
(low, mdium , high), identifique las configuraciones PHP de esos niveles para Cross-site scripting
(XSS). Identifique en cada nivel en que parte del cdigo PHP est reflejada la vulnerabilidad.
Para ejemplificar este tipo de vulnerabilidad DVWA presenta una pgina en la que se solicita un nombre a
travs de un formulario. Una vez enviado, el script muestra la cadena de texto Hello nombre_enviado.
El siguiente script al ser envido desde el formulario arrojar para la salida de usuario el mensaje ubicado dentro
de
Cdigo 1
<script>alert("Pagina vulnerable por XSS")</script>
Tambin introduciendo cdigo HTML se puede mostrar una imagen en lugar de una cadena de texto como
sera de esperar:
Cdigo 2
<img src=http://rura de la imagen.jpg alt="descripcion" />
Es obvio que el alojamiento de esas imgenes estar de forma annima o en servicios que no requieran un
registro o identificacin de acceso. El delincuente informtico lo hace para que no sea rastreado.
Por ejemplo revise esta URL: http://www.irongeek.com/images/jollypwn.png
2. Disee una imagen alusiva a una intrusin o hackeo (De su autora y al gusto suyo). Para ello,
asuma que Ud es un delincuente informtico y quiere mostrar en imagen su venganza. (Esto se hace
con fines educativos, y en su ejercicio profesional nunca deje de lado su cultura tica de hacking)
Aljela en un sitio que no requiera registro de acceso o que no requiera credenciales de acceso para el
cargue de la imagen, Recuerde que esto para un delincuente informtico no sera viable.
Uso uno diferente a este, que suele ser muy usado pero permite rastreo: http://cc.cc/
O se podra mostrar al usuario un enlace a un sitio externo
Cdigo 3
<a href="http://www.unad.edu.co/">UNIVERSIDAD NACIONAL ABIERTA Y A
DISTANCIAUNAD</a>
3. En Webgoat, ejecute los anteriores cdigos (1,2 y 3) y evidencie el resultado. El cdigo que le
carga la imagen al sitio vulnerado por XSS debe contener la imagen que ha diseado.
4. El desarrollo de la leccin que trae Webgoat para un bsico Reflected XSS Attacks la puede
descargar o visualizar en:
Visualizar: http://webappsecmovies.sourceforge.net/webgoat/movies/WebGoat_XSS_ReflectedXSS/
Descarga: http://sourceforge.net/projects/webappsecmovies/files/web/webgoat/WebGoat_XSS_ReflectedXSS.zip/download
Desarrolle la leccin, evidencie el proceso
5. Justifique la estructura del cdigo inyectado y del por qu su codificacin
6. Realice una prctica de XSS de la que le ofrece Mutillidae en la seccin A3. Evidencie el
proceso y caracterice la vulnerabilidad.
Al igual que en el caso de XSS reflejcted, esta vulnerabilidad compromete la seguridad del usuario y no la del
servidor. XSS stored, tambin llamado XSS directo o persistente, consiste en embeber cdigo HTML o
Javascript en una aplicacin web pudiendo llegar incluso a modificar la propia interfaz de un sitio web
(defacement).
1. Justifique porque se le llama persistente y de un ejemplo de cmo actuara en un sitio web (caracterice la
vulnerabilidad)
Procedimiento: Esta vulnerabilidad suele aplicarse en logs, por ejemplo en formularios que contengan dos
campos usados por ejemplo para enviar comentarios, solicitudes, libros de visitas entre otros.: Uno para
introducir el nombre y otro para escribir le mensaje o comentario.
Debe usar las tres aplicaciones que le ofrecen lecciones de XSS Stores (Mutillidae, DVWA y Webgoat). En la
que pueda evidenciar o realizar lo siguiente:
2. Identifquese con su nombre e introduzca un comentario en el campo destinado para ello (Deben ser los
nombres de los 5 integrantes del grupo). Evidencie que eso se guard en la base de datos (as funciona XSS
stored) o muestre la salida de los comentarios cada vez que cargue la pgina nuevamente.
3. Compruebe en la aplicacin (prctica o ejercicio) si es vulnerable a XSS. Para ello puede introducir el
siguiente tag HTML en el campo del comentario para que se lance una ventana de alerta Javascript: De tal
manera que quede guardado ese comentario en la BD y cada vez que se cargue de la pgina, se visualice
esa ventana emergente de alerta.
<script> alert("Es vulnerable a XSS Stored")</script>
Desde Mutillidae:
4. En el campo del mensaje, escriba Tags o etiquetas HTML que hagan un Deface al sitio. Justifique el
cdigo escrito y lo que significa un Deface. Tags HTMl pueden ser: <div> <table> <br> (Hay muchos
que pueden darle formato auna pgina web y por ende destruirle su diseo)
5. En el campo del autor del mensaje, escriba el siguiente cdigo
<SCRIPT language="javascript">window.location="http://www,unad.edu.co";</SCRIPT>
Evidencie que en la base de datos se ha escrito el cdigo. Justifique lo realizado o caracterice el resultado.
Recomendaciones
Recuerde que el grupo debe hacer la seleccin del ejercicio a realizar (uno solo) Para ello debe
diligenciar el documento compartido e informar en el foro de construccin de la actividad, el ejercicio a
realizar :
Leer cuidadosamente las indicaciones registradas en los foros (noticias del curso, foro general, foro del
trabajo colaborativo), por parte del director, para el adecuado desarrollo de los diferentes ejercicios
propuestos
Consultar con su tutor, cada vez que lo requiera, para aclarar dudas e inquietudes que se presenten en
el proceso.
Avanzar con el desarrollo de las actividades solicitadas en cada uno de los momentos de acuerdo a las
fechas registradas en la agenda.
Asistir a las sesiones web conference sncronas acorde a la agenda de acompaamiento plasmada en el
aula
Cordialmente
Ing. (msc). Carlos Alberto Amaya Tarazona
Director aula
Lo importante no es el tiempo, lo importante es lo que se hace con l