ACTIVIDAD APRENDIZAJE

UNIDAD 3

PRESENTADO POR:
Efren Florez

PRESENTADO A:

PROGRAMA DE:
Ing de software

Universidad de Cartagena
Cartagena- bolívar
Simulación de escenario y aplicacación de fuzzing

se implementó un pequeño código en PHP que simula ser un panel de administración

web. La particularidad de este panel radica en que el formulario de ingreso está oculto de

tal forma que todos los días se genera con una clave de un parámetro diferente que solo

posee conocimiento el administrador. A continuación se muestra una captura del mensaje

de error si se intenta ingresar directamente a admin.php:

Si se ingresa estableciendo el parámetro id con un valor erróneo:

De la misma forma se incluye, además, el código de la aplicación web y el algoritmo

generado para ocultar:

Suponiendo que no se tiene conocimiento de este algoritmo por parte de quien está
auditando la aplicación, se procedió a generar el fuzzer correspondiente que

permita encontrar el formulario del panel de administración. Sabiendo que la aplicación

utiliza el parámetro id para validar, se programó el fuzzer para que genere números sobre

dicho parámetro en búsqueda de un mensaje diferente al de “You are not supposed to be

here!” para que de esa forma se pueda encontrar el panel. En otras palabras, cuando se

encuentre un resultado diferente al antes especificado, el fuzzer encontrará que esa es la

clave del día del parámetro para visualizar el formulario. A continuación se puede
visualizar el código completo correspondiente al fuzzer:
Si ahora se ejecuta el fuzzer sobre el servidor donde se aloja nuestra aplicación web de

prueba obtenemos el siguiente resultado:

Con el id especificado por el fuzzer ahora es posible ingresar al formulario del panel de

administración. Se realiza la comprobación para corroborar que realmente se puede

visualizar: