Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Edoc - Pub - Test de Penetracion A La Aplicacion Badstore Utili

    Cargado por

    Jorge Lobos
    94 vistas10 páginas

    Título original

    edoc.pub_test-de-penetracion-a-la-aplicacion-badstore-utili

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    94 vistas10 páginas

    Edoc - Pub - Test de Penetracion A La Aplicacion Badstore Utili

    Cargado por

    Jorge Lobos

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 10

     Asignatura Datos del alumno

    alumno Fecha
    Seguridad en  Apellidos:
     Aplicaciones Online
     y Bases de Datos Nombre:

     Acc t i v i d a d e s
     A

    Trab
    Trabaj
    ajo:
    o: Te
    Test
    st de pe
    pene
    netr
    trac
    ació
    ión
    n a la ap
    apli
    lica
    caci
    ción
    ón BA
    BADS
    DSTO
    TORE
    RE
    utilizando un Scanner de vulnerabilidades de aplicaciones web

    Pautas de elaboración
    elaboración

    Descara:
    ORA!"E virtualbo# desde $ttps:%%www&virtualbo#&or%
    $ttps:%%www&virtualbo#&or% e
     e instala 'A( desde:
    $ttps:%%www&owasp&o
    $ttps:%% www&owasp&or%inde#&p$
    r%inde#&p$p%O)AS(*'ed*
    p%O)AS(*'ed*Attac+*
    Attac+*(ro#,*(rojec
    (ro#,*(rojectt

    Descara la m-.uina virtual con la aplicación BADSTORE/ desde:


    $ttps:%%www&dropbo#&com%s$%0ewzuossz.sl+o
    $ttps:%%www&dropbo #&com%s$%0ewzuossz.sl+o+%AAD"1!Si2+o3(
    +%AAD"1!Si2+o3()dm4nwj5D"
    )dm4nwj5D"6a
    6a
    7dl89

    mporta el servicio virtualizado badstore&ova desde ORA!"E virtualbo#&


    En con4i
    con4iura
    uració
    ción
    n ; almace
    almacenam
    namie
    iento
    nto// asocia
    asocia la imae
    imaen
    n BadSto
    BadStore;
    re;<=<
    <=<&is
    &iso
    o en el
    controlador DE >cdrom? , con4iura la m-.uina virtual para .ue arran.ue primero
    desde el cdrom&

    !rea una red virtualbo# 5OST ON"6 en @RTA"BO2 ;; Arc$ivo; pre4erencias; red;
    redes solo an4itrión; aCadir una red; $abilitar D!5( , con4iurar de la siuiente 4orma:

    TEMA 2 – Actiidades  niversidad nternacional de "a Rioja >NR?


     Asignatura Datos del alumno Fecha
    Seguridad en  Apellidos:
     Aplicaciones Online
     y Bases de Datos Nombre:

    !on4iura el adaptador der red solo;an4itrión con las siuientes direcciones:

    TEMA 2 – Actiidades  niversidad nternacional de "a Rioja >NR?


     Asignatura Datos del alumno Fecha
    Seguridad en  Apellidos:
     Aplicaciones Online
     y Bases de Datos Nombre:

    !omprobar en la con4iuración de la m-.uina virtual BADSTORE ;; RED .ue el


     ADA(TADOR = est- $abilitado , conectado a ADA(TADOR SO"O AN3TRON&

     Arranca la m-.uina virtual , ejecuta ifconfig -a para comprobar la dirección (


    asociada al dispositivo et$9&

    ncluir en el 4ic$ero 5OST de la m-.uina an4itriona la entrada correspondiente a la


    dirección ( de ET59& (or ejemplo/ si la dirección ( obtenida por D5!( para el
    dispositivo ET59 es =<&=1F&G1&==9:
    =<&=1F&G1&==9 www&badstore&net

    Realiza el test de penetración de la aplicación BADSTORE con el Scanner de


     vulnerabilidades 'A( atacando al nombre asociado a la dirección del dispositivo
    et$9 obtenida en el paso anterior: $ttp:%%www& badstore&net%ci;bin%badstore&ci

     Audita manualmente al menos tres vulnerabilidades para comprobar la veracidad de


    las alertas por parte de 'A(&

    Se podr- disponer de un procedimiento de test de penetración con 'A( disponible


    en vuestra carpeta personal&

    Debes con4eccionar una memoria e#plicando el proceso , los resultados obtenidos


    adjuntando el in4orme de la $erramienta 'A(&

    E!tensión m"!ima# =G p-inas >Heoria == e interlineado =/G?&

    TEMA 2 – Actiidades  niversidad nternacional de "a Rioja >NR?


     Asignatura Datos del alumno Fecha
    Seguridad en  Apellidos:
     Aplicaciones Online
     y Bases de Datos Nombre:

    Test de penetración a la aplicación BADSTORE utilizando 'A(

    na vez importada nuestra m-.uina virtual con badstore comprobamos la


    con4iuración de red&

     @eri4icamos .ue el adaptador = este $abilitado , conectado al adaptador solo an4itrión&

    na vez iniciada nuestra m-.uina virtual ejecutamos el comando i4con4i Ia para
    comprobar la in4ormación de nuestra tarjeta de red especJ4icamente la (&

    En la ma.uina an4itrion editamos el arc$ivo $ost/ en nuestro caso )indos =9 nos


    diriimos a la ruta K!:LL)indowsLS,stemM<LdriversLetc

    TEMA 2 – Actiidades  niversidad nternacional de "a Rioja >NR?


     Asignatura Datos del alumno Fecha
    Seguridad en  Apellidos:
     Aplicaciones Online
     y Bases de Datos Nombre:

     Abrimos el arc$ivo con cual.uier editor de te#to , areamos la ( de nuestra ma.uina


     virtual seuido de www&badstore&net , uardamos el arc$ivo&

    (ara comprobar .ue la aplicación badsote esta 4uncionando diitmos www&badstore&net


    en un naveador de nuestra ma.uina an4itrion&

    TEMA 2 – Actiidades  niversidad nternacional de "a Rioja >NR?


     Asignatura Datos del alumno Fecha
    Seguridad en  Apellidos:
     Aplicaciones Online
     y Bases de Datos Nombre:

    niciamos 'A(/ una vez levante el H/ nos encontraremos con una aplicación mu, 
    intuitiva , sencilla de usar:

    En el campo KR" to attac+ inresamos el taret a analizar/ en ste primer caso


    analizaremos/ cabe aclarar .ue siempre debemos inresar el protocolo/ es decir si el
    sitio .ue .ueremos analizar se comunica por $ttp o por $ttps/ si inresamos solo e
    nombre de dominio nos mostrar- un error:

    nresamos la url , Attac+ de sta manera no sólo corremos un scannin activo/ sino
    tambin .ue corre el spider/ 4uzzea , lanza brute 4orce&

    TEMA 2 – Actiidades  niversidad nternacional de "a Rioja >NR?


     Asignatura Datos del alumno Fecha
    Seguridad en  Apellidos:
     Aplicaciones Online
     y Bases de Datos Nombre:

     A partir de ese momento 'A( empezar- a buscar vulnerabilidades


    indiscriminadamente& "o primero .ue $ar- ser- recorrer todas las R" del sitio a
    travs del Spider& De esta 4orma podremos tener un mapa de la web&

    !uando se $ace este recorrido por todas las R"s a travs del Spider/ se va analizando
    cada una de las R" encontradas en busca de in4ormación sensible/ , en caso de
    encontrar aluna R" .ue est cataloada como sospec$osa/ se mostrar- un alerta
    indicando su rado de rieso/ es decir/ si la vulnerabilidad es rabe/ media/ o casi sin
    importancia&

    TEMA 2 – Actiidades  niversidad nternacional de "a Rioja >NR?


     Asignatura Datos del alumno Fecha
    Seguridad en  Apellidos:
     Aplicaciones Online
     y Bases de Datos Nombre:

    !uando el Spider 4inaliza su recorrido/ autom-ticamente pasa a realizar un Escaneo


     Activo del sitio/ de todas las R" .ue se encontraron anteriormente&

    Es a.uJ donde 'A( $ace ma,or ruido en su ata.ue/ ,a .ue al tratarse de un Esc-ner
     Activo/ lo .ue $ar- ser- probar todo tipo de ata.ues en las direcciones econtradas& Esto
    implica desde una bPs.ueda de con4iuración en un simple par-metro de aluno de los
    arc$ivos .ue compone la web/ $asta ata.ues de SQ" injection/ 2DD/ "3/ R3"/ etc&

    Si damos clic sobre el boton detalles del proreso se mostrara la siuiente ventana en la
    cual podemos observar el proreso del escaneo activo&

    TEMA 2 – Actiidades  niversidad nternacional de "a Rioja >NR?


     Asignatura Datos del alumno Fecha
    Seguridad en  Apellidos:
     Aplicaciones Online
     y Bases de Datos Nombre:

     Al 4inalizar el proceso anterior/ $abr- terminado la bPs.ueda autom-tica de


     vulnerabilidades , nos llevara a la pestaCa de Alertas donde podremos ver el resultado
    de todas las vulnerabilidades encontradas en 4unción de su rieso& Este panel donde se
    muestra las posibles vulnerabilidades , el rieso .ue conlleva/ muestra adem-s/
    in4ormación sobre cómo se puede vulnerar/ , .u medidas se pueden tomar para evitar
    .ue dic$o 4allo de seuridad sea vulnerable&

    TEMA 2 – Actiidades  niversidad nternacional de "a Rioja >NR?


     Asignatura Datos del alumno Fecha
    Seguridad en  Apellidos:
     Aplicaciones Online
     y Bases de Datos Nombre:

     Auditoria de vulnerabilidades
    dd

    TEMA 2 – Actiidades  niversidad nternacional de "a Rioja >NR?

    También podría gustarte