Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • CiberseguridadWeb Act3

    Cargado por

    Henry Jimenez Rosero
    38 vistas6 páginas
    seguridad web

    Título original

    CiberseguridadWeb_act3

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    seguridad web

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    38 vistas6 páginas

    CiberseguridadWeb Act3

    Cargado por

    Henry Jimenez Rosero
    seguridad web

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    Asignatura Datos del alumno Fecha

    Apellidos:
    Ciberseguridad Web
    Nombre:

    Laboratorio: test de penetración a la aplicación


    BadStore utilizando un scanner de
    vulnerabilidades de aplicaciones web

    Objetivos

     Vas a aprender a encontrar vulnerabilidades de seguridad en una aplicación web.


     Vas a explotar vulnerabilidades de seguridad en una aplicación web.
     Vas a aprender a utilizar una herramienta de análisis dinámico DAST en
    aplicaciones web a través de un procedimiento por fases.

    Pautas de elaboración

    Realización de un test de penetración a la aplicación web BadStore.

    Descarga Oracle VM VirtualBox a través del siguiente enlace:


    https://www.virtualbox.org/ e instala ZAP desde https://owasp.org/www-project-
    zap/

    Descarga la máquina virtual con la aplicación BadStore a través del siguiente enlace:
    https://www.dropbox.com/sh/7ewzuosszqslkok/AADL6CSiXkoFPWdmfnwjHDLYa?
    © Universidad Internacional de La Rioja (UNIR) dl=0

    Importa el servicio virtualizado badstore.ova desde Oracle VM VirtualBox. En


    Configuración, Almacenamiento, asocia la imagen BadStore-212.iso en el

    1
    Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Ciberseguridad Web
    Nombre:

    controlador IDE (CD-ROM) y configura la máquina virtual para que arranque


    primero desde el CD-ROM.

    Figura 1. Ejemplo 1 de configuración. Fuente: elaboración propia.

    Crea una red VirtualBox Host-Only («solo anfitrión») en VirtualBox (Archivo,


    Preferencias, Red, Redes solo anfitrión, Añadir una red, Habilitar DCHP) según
    versión y configúrala de la siguiente forma:

    © Universidad Internacional de La Rioja (UNIR)

    Figura 2. Ejemplo 2 de configuración. Fuente: elaboración propia.

    2
    Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Ciberseguridad Web
    Nombre:

    Configura el adaptador de red «solo anfitrión» con las siguientes direcciones:

    Figura 3. Ejemplo 3 de configuración. Fuente: elaboración propia.

    © Universidad Internacional de La Rioja (UNIR)


    Figura 4. Ejemplo 4 de configuración. Fuente: elaboración propia.

    3
    Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Ciberseguridad Web
    Nombre:

    Comprobar en la configuración de la máquina virtual BadStore, Red que el


    adaptador 1 está habilitado y conectado a Adaptador solo-anfitrión.

    Figura 5. Ejemplo 5 de configuración. Fuente: elaboración propia.

    Arranca la máquina virtual y ejecuta ifconfig -a para comprobar la dirección IP


    asociada al dispositivo eth0.

    Incluye en el fichero Host de la máquina anfitriona la entrada correspondiente a la


    dirección IP de eth0.

    Dirección IP de eth0

    Por ejemplo, si la dirección IP obtenida por DHCP para el dispositivo ETH0 es


    192.168.56.110:

    © Universidad Internacional de La Rioja (UNIR)


    192.168.56.110 www.badstore.net

    Realiza el test de penetración de la aplicación BadStore con el scanner de


    vulnerabilidades ZAP atacando al nombre asociado a la dirección del dispositivo
    eth0 obtenida en el paso anterior.

    4
    Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Ciberseguridad Web
    Nombre:

    Ataque según el nombre asociado a la dirección de eth0

    http://www.badstore.net/cgi-bin/badstore.cgi

    Audita manualmente al menos tres vulnerabilidades para comprobar la veracidad


    de las alertas por parte de ZAP.

    Se podrá disponer de un procedimiento de test de penetración con ZAP disponible


    en vuestra carpeta personal.

    Extensión y formato

    Debes confeccionar una memoria en formato PDF, explicando el proceso y los


    resultados obtenidos adjuntando el informe de la herramienta ZAP en formato
    HTML.

    La extensión óptima de la actividad es de 15 páginas en un documento de Word,


    tipo de letra Georgia, tamaño 11 e interlineado 1,5.

    © Universidad Internacional de La Rioja (UNIR)

    5
    Actividades
    Asignatura Datos del alumno Fecha
    Apellidos:
    Ciberseguridad Web
    Nombre:

    Rúbrica

    Test de penetración a
    la aplicación BadStore Puntuación
    Peso
    utilizando un scanner Descripción máxima
    %
    de vulnerabilidades (puntos)
    de aplicaciones web

    Criterio 1 Como se ha llevado a cabo el


    3 30 %
    procedimiento de test

    Criterio 2 Resultados de vulnerabilidades


    3 30 %
    encontradas

    Criterio 3 Auditoría de las vulnerabilidades


    3 30 %
    encontradas

    Criterio 4 Calidad de la memoria 1 10 %

    10 100 %

    © Universidad Internacional de La Rioja (UNIR)

    6
    Actividades

    También podría gustarte