Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:
Actividades
Pautas de elaboración
» Descarga:
ORACLE virtualbox desde https://www.virtualbox.org/ e instala ZAP desde:
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
1. DESARROLLO
Una vez realizado todos los pasos de descarga e instalación de la máquina virtual,
importamos la máquina virtual BADSTORE, procedemos a verificar la configuración de
red, comprobamos que el Adaptador 1 este habilitado y conectado al Adaptador
solo-anfitrión.
La
herramienta ZAP, empezará a buscar vulnerabilidades, recorrerá todas las URL del sitio
web a través de Spider, obteniendo un mapa de la web.
Podremos visualizar las alertas, con todas las vulnerabilidades que ponen en riesgo la
aplicación web. Ademas proporciona informacion sobre las medidas que se deben
tomar para mitigar y evitar fallos de seguridad.
Spider (la araña) nos muestra como la herramienta va analizando los diferentes archivos
y directorios en búsqueda de vulnerabilidades. Además, permite presenciar en directo el
tipo y progreso de ataques que se está realizando dando clic en "Show scan progress
details".
Vulnerabilidad 1
Alerta: Sitio cruzado de Scripting (Basado en DOM)
Riesgo: Alto
Ataque: <script>alert(1);</script
Vulnerabilidad 2
Riesgo: Medio
URL: http://www.badstore.net/ws/
Vulnerabilidad 3
Alerta: Falla por Inyección SQL
Riesgo: Alto
Ataque: ZAP' OR '1'='1' --
Ingresamos el script ' OR 'x'='x' and role = 'A'## en el input Email Address y en
Password y clic en iniciar sesión.
En el naveagador
modificamos
action=admin
Instantamente se muestra una imagen con un menu, en cual se desplega una lista de
información.
Accedemos al listado de View Sales Reports, muestra todos las ventas realizadas,
detallando los artículos vendidos, número de tarjeta de crédito, costo, fecha, entre
otros.
La página web, muestra varios items que se encuentran en la base de datos, inclusive
los que no se deben mostrar.
2.
CONCLUSIONES
Con la actividad realizada se verificó que los ataques de inyección de sql son los más
comunes y fácil de explotar, aunque, con la herramienta OWASP ZAP permitió generar
ataques de madera sencilla. Para prevenir este tipo de ataque también se puede tomar
ciertas medidas evitar este tipo de vulnerabilidad en el desarrollo de software al tener
conocimiento de seguridad y que tipo de parámetros va a recibir la base de datos
previene la exposición de cualquier tipo inyección.
3. WEBGRAFÍA
https://www.academia.edu/37747291/SQL_INYECCION