Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Actividades
Comprobamos la dirección
http://192.168.56.110/cgi-bin/badstore.cgi
Ejecutamos el ZAP
Laura M Serrano Garzón
Realizamos el test
1)
Laura M Serrano Garzón
2)
peticiones http, lo cual estaría expuesto para que atacantes lo utilicen, como por
ejemplo el ClickJacking
3)
Cuando el programa SPIDER está recorriendo las URLs va analiza cada una de ella y
buscando cualquier información que sea sensible de tal manera que si encuentra en
alguna de ellas algo sospechoso emite la alerta catalogando el riesgo como bajo, medio,
alto o de información.
Una vez que el programa SPIDER termina de buscar todas las URLs, ZAP procede a
realizar un escaneo activo de todas las páginas encontradas como lo vemos en la
siguiente figura.
Laura M Serrano Garzón
Este escaneo implica desde una búsqueda de configuraciones sensibles en las páginas
hasta pruebas o ataques sql-injection, XDD, LFI, RFL, entre otras, incluso podemos
observar el progreso del escaneo activo, lo cual nos despliega la siguiente pantalla.
Una vez finalizado estos procesos de búsqueda, escaneo y ataques, las herramientas nos
llevan a la pantalla de alertas, el cual nos da la lista de todas las vulnerabilidades y
posibles riesgos encontrados en dichas paginas categorizado por su nivel de riesgo y al
hacer clic en cada una de las vulnerabilidades podemos ver el detalle e información
relevante así como también la remediación sugerida para mitigar los riesgos.
Laura M Serrano Garzón