Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Mexmasi 09 T 2 Trab 1

    Cargado por

    Luis Demetrio Martinez Ruiz
    126 vistas11 páginas
    El documento describe los pasos realizados para instalar una máquina virtual con la aplicación BADSTORE y escanearla para detección de vulnerabilidades utilizando la herramienta OWASP ZAP. Se identificó la dirección IP de la máquina virtual, se configuró una red host-only y se ejecutó el escaneo de vulnerabilidades contra la dirección IP utilizando ZAP. Se auditaron manualmente tres vulnerabilidades encontradas para validar los resultados del escaneo.

    Descripción original:

    ssds

    Título original

    mexmasi09t2trab1

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento describe los pasos realizados para instalar una máquina virtual con la aplicación BADSTORE y escanearla para detección de vulnerabilidades utilizando la herramienta OWASP ZAP. Se identificó la dirección IP de la máquina virtual, se configuró una red host-only y se ejecutó el escaneo de vulnerabilidades contra la dirección IP utilizando ZAP. Se auditaron manualmente tres vulnerabilidades encontradas para validar los resultados del escaneo.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    126 vistas11 páginas

    Mexmasi 09 T 2 Trab 1

    Cargado por

    Luis Demetrio Martinez Ruiz
    El documento describe los pasos realizados para instalar una máquina virtual con la aplicación BADSTORE y escanearla para detección de vulnerabilidades utilizando la herramienta OWASP ZAP. Se identificó la dirección IP de la máquina virtual, se configuró una red host-only y se ejecutó el escaneo de vulnerabilidades contra la dirección IP utilizando ZAP. Se auditaron manualmente tres vulnerabilidades encontradas para validar los resultados del escaneo.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 11

    Asignatura Datos del alumno Fecha

    Seguridad en Apellidos: Martínez Ruíz


    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    Actividades

    Trabajo: Test de penetración a la aplicación BADSTORE


    utilizando un Scanner de vulnerabilidades de aplicaciones web

    1.- una vez montado el Badstore sobre Virtual Box, se identifica la dirección IP
    192.168.1.91

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Martínez Ruíz
    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    2.- Se ingresa la dirección IP 192.168.1.91 en el navegador Chrome y nos aparece la


    bienvenida a BadStore.net. Lo cual quiere decir que si hay conexión entre la máquina
    virtual y el navegador.

    3.- Se muestra imagen del OWASP ZAP instalado y corriendo.

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Martínez Ruíz
    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Martínez Ruíz
    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Martínez Ruíz
    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    Pautas de elaboración

    » Descarga: ORACLE VirtualBox desde https://www.virtualbox.org/ e instala ZAP


    desde https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

    » Descarga la máquina virtual con la aplicación BADSTORE, desde


    https://download.vulnhub.com/badstore/BadStore_123s.iso

    » Importa el servicio virtualizado badstore.ova desde ORACLE VirtualBox. En


    configuración-almacenamiento, asocia la imagen BadStore-212.iso en el controlador
    IDE (cdrom) y configura la máquina virtual para que arranque primero desde el
    cdrom.

    Primero arrancamos VirtualBox, procurando descargar la última versión disponible.

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Martínez Ruíz
    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    Figura 1. VirtualBox.
    Una vez realizado lo anterior, procedemos a importar el servicio virtualizado
    Badstore.ova:

    Figura 2. Importar servicio virtualizado.

    Lo buscamos en nuestra carpeta de descargas:

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Martínez Ruíz
    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    Figura 3. Carpeta de descargas.


    Dejamos las configuraciones por default y lo importamos:

    Figura 4. Importar.

    Nos posicionamos sobre el servicio virtualizado, botón derecho del mouse en


    Configuración:

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Martínez Ruíz
    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    Figura 5. Configuración.
    En la opción <Sistema> aparece cómo será el orden de arranque. Seleccionar que
    sea el DVD. Se pueden desactivar las demás opciones:

    Figura 6. Opciones Sistema.

    Regresamos a la pantalla principal de VirtualBox. Seleccionamos el servicio


    virtualizado, y en la parte superior damos clic en <archivo>:

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Martínez Ruíz
    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    Figura 7. VirtualBox: archivo.


    Ahí seleccionamos <Administrador de red de anfitrión>:

    Figura 8. Administrador de red de anfitrión.

    Crear una red virtualbox HOST ONLY – virtualbox- file- preferencias- red- redes
    sólo anfitrión- añadir una red- habilitar DCHP y configurar de la siguiente forma:

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Martínez Ruíz
    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    Figura 9. Detalles de red sólo-anfitrión: Servidor DHCP.

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Martínez Ruíz
    Aplicaciones en 07/12/2020
    Línea Nombre: Luis Demetrio

    » Configura el adaptador de red sólo-anfitrión con las siguientes direcciones:

    Figura 10. Detalles de red sólo-anfitrión: Adaptador.

    Importa el servicio virtualizado badstore.ova desde ORACLE VirtualBox. En


    configuración - almacenamiento, asocia la imagen BadStore-212.iso en el
    controlador IDE (cdrom) y configura la máquina virtual para que arranque primero
    desde el cdrom.

    Arranca la máquina virtual y ejecuta ifconfig para comprobar la dirección IP


    asociada al dispositivo eth0.

    Realiza el test de penetración de la aplicación BADSTORE con el Scanner de


    vulnerabilidades ZAP atacando a la dirección asociada al dispositivo eth0 obtenida
    en el paso anterior cambiando dir_ip por la dirección: ej.: http://dir_ip/cgi-
    bin/badstore.cgi

    Audita manualmente al menos tres vulnerabilidades para comprobar la veracidad de


    las alertas por parte de ZAP.

    Debes confeccionar una memoria explicando el proceso y los resultados obtenidos


    adjuntando el informe de la herramienta ZAP.

    Extensión máxima: 15 páginas (Georgia 11 e interlineado 1,5).

    TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

    También podría gustarte