LABORATORIO WEB GOAT Y ZAP

SEGUIRIDAD INFORMATICA

FUNDACIÓN UNIVERSITARIA DE SAN GIL UNISANGIL

PROGRAMA INGENIERÍA DE SISTEMAS
CHIQUINQUIRÁ - BOYACÁ
202
Teniendo instalado la máquina virtual de Kali, procedemos a realizar un update
 Donde usamos la siguiente línea
Sudo apt-get update
Luego de debemos ingresar la contraseña de la maquina
Lo siguiente es realizar un upgrade

Finalizado el proceso de upgrade se debe descargar el WebGoat para ellos nos

dirigimos al repositorio de github
https://github.com/WebGoat/WebGoat/releases
y descargamos el tar de la versión que se desee
 Una vez descargada vamos a la consola y nos dirigimos al directorio donde se
guardó el archivo, en este caso está en Downloads, ahora vamos a descomprimir
el archivo con el código
Sudo tar -zxvf WebGoat-vtest10.tar.gz

Donde
z significa (des) z̲ip.
x significa extraer archivos del archivo.
v significa imprimir los nombres de los archivos de forma desordenada.
f significa que el siguiente argumento es un nombre de archivo.

https://github.com/WebGoat/WebGoat
Luego de esto ingresamos al directorio donde se descomprimió la información y
teniendo en cuenta el proceso de instalación que nos en github ejecutamos el
Docker y damos permisos
docker run -p 8080:8080 -p 9090:9090 -e TZ=Europe/Amsterdam
webgoat/goatandwolf
 Volvemos a ejecutar el código para el Docker

Una vez ejecutado ingresamos a la dirección del host con el puerto asignado, en el
caso el 8080
http://127.0.0.1:8080/WebGoat/
Entramos al apartado de register new user

Aceptamos los términos y damos sign up

Username: fabian-castellanos
Password: 2KD"zYqAP\
 ZAP
Zap es una herramienta de pruebas de seguridad informática más
específicamente de pentesting, enfocado en paginas web, se comporta como un
man in the middle proxy, de modo que por el pasad cualquier petición del
navegador

Se debe iniciar el ZAP, en caso que el puerto 8080 este en uso, ser puede
cambiar a otro, el programa por defecto sugiere el 8081 y confirmamos
Luego a sale la siguiente ventana donde nos pregunta si deseamos tener
persistencia en la sesión, se marca no y se inicia el programa.
Ahora sale la opción para actualizar partes del zap, le damos update all y luego
close

Una vez cargada la interfaz de ZAP, en la parte superior observamos el logo de

fire fox, lo abrimos
Ahora nos dirigimos al localhots y el puerto 8080, esto lleva al WebGoat que está
ejecutándose, nos saltara una guía de ZAP y lo podemos saltar.

Ahora se localiza en la parte izquierda las páginas que el programa está

analizando, la idea es dejar la página objetivo, en este caso el localhost
 Seleccionamos las otras páginas y las borramos con la tecla suprimir o click
derecho y delete

Ahora le damos en historial para visualizar de forma has organizada la información

 Ahora en la parte izquierda localizamos el localhost, luego service y
encontraremos, GET:lessonmenu.mvc y
GET:lessonoverview.mvc, seleccionamos los dos servicios, le damos excluir del
proxy

Ahora confirmamos

Con esto hemos terminado de prepara el las herramientas.

 Referencias

ehsanullahjan, ehsanullahjan. (2021). what does -zxvf mean in tar -zxvf ? [closed].
Recuperado 11 de marzo de 2021, de stackoverflow website:
https://stackoverflow.com/questions/21929223/what-does-zxvf-mean-in-tar-zxvf-
filename/21929288
Unix, L. (2021). tar(1) — Linux manual page. Recuperado 11 de marzo de 2021,
de man7.org website: https://man7.org/linux/man-pages/man1/tar.1.html
 
Linux, K. (2021). https://www.kali.org. Recuperado 11 de marzo de 2021, de
updating-kali website: https://www.kali.org/docs/general-use/updating-kali/