Asignatura Datos del alumno Fecha

Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Actividades

Trabajo: Test de penetración a la aplicación BADSTORE

utilizando un Scanner de vulnerabilidades de aplicaciones web

Pautas de elaboración

» Descarga:
ORACLE virtualbox desde https://www.virtualbox.org/ e instala ZAP desde:
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

La máquina virtual con la aplicación BADSTORE, desde:

https://www.dropbox.com/sh/7ewzuosszqslkok/AADL6CSiXkoFPWdmfnwjHDLYa
?dl=0

» Importa el servicio virtualizado badstore.ova desde ORACLE virtualbox.

En configuración - almacenamiento, asocia la imagen BadStore-212.iso en el
controlador IDE (cdrom) y configura la máquina virtual para que arranque primero
desde el cdrom.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

» Crea una red virtualbox HOST ONLY en VIRTUALBOX --> (ArchivoAdministración

redes solo anfitrión) o (Archivo- preferencias- red- redes solo anfitrión- añadir una red-
habilitar DCHP) según versión y configurar de la siguiente forma:

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

» Configura el adaptador der red solo-anfitrión con las siguientes direcciones:

» Comprobar en la configuración de la máquina virtual BADSTORE --> RED que el

ADAPTADOR 1 está habilitado y conectado a ADAPTADOR SOLO ANFITRION.

» Arranca la máquina virtual y ejecuta ifconfig -a para comprobar la dirección IP

asociada al dispositivo eth0.

» Incluir en el fichero HOST de la máquina anfitriona la entrada correspondiente a la

dirección IP de ETH0. Por ejemplo, si la dirección IP obtenida por DHCP para el
dispositivo ETH0 es 192.168.56.110:
192.168.56.110 www.badstore.net

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

» Realiza el test de penetración de la aplicación BADSTORE con el Scanner de

vulnerabilidades ZAP atacando al nombre asociado a la dirección del dispositivo
eth0 obtenida en el paso anterior: http://www. badstore.net/cgi-bin/badstore.cgi

» Audita manualmente al menos tres vulnerabilidades para comprobar la veracidad de

las alertas por parte de ZAP.

» Se podrá disponer de un procedimiento de test de penetración con ZAP disponible

en vuestra carpeta personal.

» Debes confeccionar una memoria en formato pdf, explicando el proceso y los

resultados obtenidos adjuntando el informe de la herramienta ZAP en
formato html.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

1. DESARROLLO

Una vez realizado todos los pasos de descarga e instalación de la máquina virtual,
importamos la máquina virtual BADSTORE, procedemos a verificar la configuración de
red, comprobamos que el Adaptador 1 este habilitado y conectado al Adaptador
solo-anfitrión.

Iniciamos la máquina virtual BADSTORE, ingresamos el comando ifconfig -a para

verificar la información de la tarjeta de red y la dirección ip.

En nuestra máquina anfitrión, ingresamos a la ruta C:\\Windows\System32\drivers\etc,

procedemos a editar el archivo host, agregamos la IP de la máquina virtual seguido de
www.badstores.net guardamos y salimos.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Desde la máquina virtual de BADSTORE, verificamos la conectividad con la máquina

anfitrión, mediante un ping a la dirección 192.168.56.1

Procedemos a comprobar el funcionamiento de la aplicación badstore, en el navegador

digitamos la dirección URL www.badstore.net

Instalamos la herramienta OWASP ZAP, es un escáner de seguridad web de código

abierto, herramienta profesional para pruebas de penetración.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Realizamos el test de penetración de la aplicación BADSTORE con el escáner de

vulnerabilidades ZAP, ingresamos en el campo “URL to attack” la dirección web
http://www.badstore.net/cgi-bin/badstore.cgi click en Atacar y empezará a escanear.

La

herramienta ZAP, empezará a buscar vulnerabilidades, recorrerá todas las URL del sitio
web a través de Spider, obteniendo un mapa de la web.

Podremos visualizar las alertas, con todas las vulnerabilidades que ponen en riesgo la
aplicación web. Ademas proporciona informacion sobre las medidas que se deben
tomar para mitigar y evitar fallos de seguridad.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Spider (la araña) nos muestra como la herramienta va analizando los diferentes archivos
y directorios en búsqueda de vulnerabilidades. Además, permite presenciar en directo el
tipo y progreso de ataques que se está realizando dando clic en "Show scan progress
details".

Finalizado el ataque, arroja los siguientse resultados.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

» Audita manualmente al menos tres vulnerabilidades para comprobar la

veracidad de las alertas por parte de ZAP.

 Vulnerabilidad 1
Alerta: Sitio cruzado de Scripting (Basado en DOM)
Riesgo: Alto
Ataque: <script>alert(1);</script

Para auditar esta vulnerabilidad, ingresamos un script <script>alert(“HACKEADO

POR XSS”);</script>, digitamos en el input de Email Address, damos clic en Resert
User Password , la aplicación web lanzará una alerta con el mensaje HACKEADO POR
XSS.

 Vulnerabilidad 2

Alerta: Divulgación de error de aplicación

Riesgo: Medio
URL: http://www.badstore.net/ws/

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Ingresamos la direcion URL en el navegador http://www.badstore.net/ws/, y revela

información sensible como la ubicación del archivo, version del servidor Apache,
direccion ip, puerto.

  Vulnerabilidad 3
Alerta: Falla por Inyección SQL
Riesgo: Alto
Ataque: ZAP' OR '1'='1' --

Ingresamos el script ' OR 'x'='x' and role = 'A'## en el input Email Address y en
Password y clic en iniciar sesión.

La aplicación indica que hemos ingresado como Master System Administrator

En el naveagador
modificamos
action=admin

Instantamente se muestra una imagen con un menu, en cual se desplega una lista de
información.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Escogemos el listado Show Current Users, y desplega el listado de los usuarios y

contraseñas.

Accedemos al listado de View Sales Reports, muestra todos las ventas realizadas,
detallando los artículos vendidos, número de tarjeta de crédito, costo, fecha, entre
otros.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Ingresamos el siguiente script “1’ OR 1=1 #” en el input de búsqueda y hacemos clic.

La página web, muestra varios items que se encuentran en la base de datos, inclusive
los que no se deben mostrar.

Del listado Show

Current Users escogemos un usuario en este caso joe@supplier.com seleccionamos la
contraseñ, desciframos la contraseña que se encuentra en MD5, digitamos las
credenciales en Supplier Login y accedemos como usuario Jose Supplier. Procedemos
recorrer en la aplicación y se visualiza informacion sobre pedidos del usuario.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

2.

CONCLUSIONES

Con la actividad realizada se verificó que los ataques de inyección de sql son los más
comunes y fácil de explotar, aunque, con la herramienta OWASP ZAP permitió generar
ataques de madera sencilla. Para prevenir este tipo de ataque también se puede tomar
ciertas medidas evitar este tipo de vulnerabilidad en el desarrollo de software al tener
conocimiento de seguridad y que tipo de parámetros va a recibir la base de datos
previene la exposición de cualquier tipo inyección.

3. WEBGRAFÍA

https://www.academia.edu/37747291/SQL_INYECCION

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)