Laura M Serrano Garzón

Actividades

Test de penetración a la aplicación web Badstore utilizando

una herramienta de análisis dinámico

Importa el servicio virtualizado badstore.ova desde ORACLE VirtualBox. En

configuración - almacenamiento, asocia la imagen BadStore-212.iso en el
controlador IDE (cdrom) y configura la máquina virtual para que arranque primero
desde el cdrom.

Arranca la máquina virtual y ejecuta ifconfig para comprobar la dirección IP

asociada al dispositivo eth0.
Laura M Serrano Garzón

Realiza el test de penetración de la aplicación BADSTORE con el Scanner de

vulnerabilidades ZAP atacando a la dirección asociada al dispositivo eth0 obtenida
en el paso anterior cambiando dir_ip por la dirección: ej.: http://dir_ip/cgi-
bin/badstore.cgi

Comprobamos la dirección
http://192.168.56.110/cgi-bin/badstore.cgi

Ejecutamos el ZAP
Laura M Serrano Garzón

Realizamos el test

Audita manualmente al menos tres vulnerabilidades para comprobar la

veracidad de las alertas por parte de ZAP

1)
Laura M Serrano Garzón

Observamos la primera vulnerabilidad divulgación de error de aplicación la cual es de

riesgo medio, esta vulnerabilidad consiste en que la pagina contiene un mensaje de
error el cual podría revelar información sensible para ser usado por un atacante como
el nombre del servidor web y su versión.
La solución a esta vulnerabilidad es gestionar páginas de errores personalizadas,
mostrando un error genérico del lado del cliente.

2)

Observamos la segunda vulnerabilidad encabezado xframe-option no establecido, es de

riesgo medio y consiste en que el encabezado xframe-options no está incluido al realizar
Laura M Serrano Garzón

peticiones http, lo cual estaría expuesto para que atacantes lo utilicen, como por
ejemplo el ClickJacking

3)

La tercera vulnerabilidad absenseog anti-CSRF token, es de riesgo bajo y consiste en el

envió de peticiones sin o con ausencia de anti-CSRF token para evitar las falsas
peticiones y así el robo de información.

Debes confeccionar una memoria explicando el proceso y los resultados

obtenidos adjuntando el informe de la herramienta ZAP.

Atacar una página mediante la UR

Laura M Serrano Garzón

A partir de ese momento la herramienta ZAP iniciara con la búsqueda de

vulnerabilidades, lo primero que hace esta herramienta es recorrer todas las URLs del
sitio a través del SPIDER y así tendremos un mapa del sitio.

Cuando el programa SPIDER está recorriendo las URLs va analiza cada una de ella y
buscando cualquier información que sea sensible de tal manera que si encuentra en
alguna de ellas algo sospechoso emite la alerta catalogando el riesgo como bajo, medio,
alto o de información.

Una vez que el programa SPIDER termina de buscar todas las URLs, ZAP procede a
realizar un escaneo activo de todas las páginas encontradas como lo vemos en la
siguiente figura.
Laura M Serrano Garzón

Este escaneo implica desde una búsqueda de configuraciones sensibles en las páginas
hasta pruebas o ataques sql-injection, XDD, LFI, RFL, entre otras, incluso podemos
observar el progreso del escaneo activo, lo cual nos despliega la siguiente pantalla.

Una vez finalizado estos procesos de búsqueda, escaneo y ataques, las herramientas nos
llevan a la pantalla de alertas, el cual nos da la lista de todas las vulnerabilidades y
posibles riesgos encontrados en dichas paginas categorizado por su nivel de riesgo y al
hacer clic en cada una de las vulnerabilidades podemos ver el detalle e información
relevante así como también la remediación sugerida para mitigar los riesgos.
Laura M Serrano Garzón

ALERTAS DETALLE ALERTAS