Implementación EPA

Subdirección de Diseño instruccional

SEGURIDAD EN
ASY613 Nombre de SISTEMAS Tiemp
Sigla Asignatura 2h
1 la Asignatura COMPUTACIONALE o
S
Experiencia de Aprendizaje N° 3 Explorando vulnerabilidades
Actividad N° 3.3 Técnicas de Hacking Web

Nombre del Recurso Didáctico 3.3.2 Explotación de Vulnerabilidades

1. Aprendizajes e indicadores de logro

Aprendizajes (Procedimentales, Indicadores de logro

Actitudinales y conceptuales)
Utilizar mecanismos y herramientas de
seguridad informática para cumplir normas y
buenas prácticas de la industria a través de un
plan de mitigación de vulnerabilidades.
Desarrollar el autoaprendizaje y la rigurosidad
en la aplicación y cumplimiento de las normas
y buenas prácticas en el ámbito de ciber
seguridad.
Reconocer estándares de seguridad para la
aplicación en el desarrollo de software a fin
de mitigar las vulnerabilidades posibles de
explotar en su fase de operación.
● Aplica técnicas de escaneo de vulnerabilidades para garantizar
la seguridad de la solución requerida por la organización.
● Detecta las potenciales vulnerabilidades del software para
proporcionar una solución en los niveles de seguridad que
requiere la organización.
● Es autocrítico en la revisión del cumplimiento de las normas y
buenas prácticas en el ámbito de ciber seguridad.
● Indaga en diversas fuentes información abierta sobre
vulnerabilidades que afectan el desarrollo de software y la
infraestructura tecnológica.
● Reconoce los estándares y buenas prácticas asociadas a
ciberseguridad, necesarias para el desarrollo de código seguro.
● Reconoce buenas prácticas relacionadas a ciberseguridad, para
el desarrollo de código seguro.
● Identifica las vulnerabilidades del software para el desarrollo
seguro en el marco de la solución requerida por la organización.

1. Descripción general actividad

Conocer las técnicas de hacking más utilizadas en la industria para evaluar la seguridad de aplicaciones web
con herramientas open source

Instrucciones:

1. Este trabajo se ejecutará de forma grupal con un máximo de 2 integrantes.

2. Para desarrollar esta actividad deberás disponer de pc e internet.

3. Al finalizar, deberás enviar la evidencia de esta actividad por mensaje interno a través del Ambiente
Virtual de Aprendizaje (AVA), indicando los nombres de los integrantes y la sección.

Máquinas Necesarias:

Docente Diseñador Jorge Guzmán Revisor metodológico Alicia Zambrano

 Implementación EPA
Subdirección de Diseño instruccional

• Máquina Virtual Metasploitable

• Máquina Virtual Kali Linux

2. Actividad

Título: Hacking Web

1.- Inicie su computador en Windows 7.

2.- Instale la máquina Metasploitable con la interfaz de red en modo puente.

3.- Conéctese con un browser a: http://ipmetasploitable/dvwa

username: admin, password: password

3.- Seleccione el nivel de seguridad de DVWA en "low" y haga click en "submit"

Docente Diseñador Jorge Guzmán Revisor metodológico Alicia Zambrano

 Implementación EPA
Subdirección de Diseño instruccional

SQL Injection

4.- SQL Injection e ingrese el siguiente parámetro en la opción "User ID"

1'='1'or'1

¿Que obtuvo como respuesta?

5.- Repita la operación con los siguientes parámetros:

- 3 ' and 1=1 #

- 4 ' and 1=1 #

- 5 ' and 1=1 #

6.- Suba el nivel de seguridad a "medium", según las instrucciones del punto 3 y repita la operación.

¿Qué puede concluir del resultado?

7.- Intente con la siguiente sentencia:

- 1 ' and 1=0 union select null, database()#

¿Cuál es el nombre de la base de datos de usuarios?

8.- Suba el nivel de seguridad a "medium" e ingrese la siguiente sentencia:

Docente Diseñador Jorge Guzmán Revisor metodológico Alicia Zambrano

 Implementación EPA
Subdirección de Diseño instruccional

- 1 UNION ALL SELECT first_name, password from dvwa.users;

¿Que obtuvo como resultado?

9.- Suba el nivel de seguridad a "high" e inténtelo nuevamente

¿Que obtuvo como resultado?

Cross Site Scripting (XSS)

10.- Configure nuevamente el nivel de seguridad de DVWA Security en low

11.- Vaya a la opción "XSS reflected"

12.- Ingrese en el cuadro de dialogo su nombre:

¿Que obtuvo como resultado?

13.- Ingrese a continuación el frame:

<iframe src="http://www.duoc.cl"></iframe>

14.- Repita la operación con el nivel de seguridad en "medium" y "high" y comente el resultado.

15.- Vuelva el nivel de seguridad a "low"

16.- Ingrese a la opción "XSS stored"

Docente Diseñador Jorge Guzmán Revisor metodológico Alicia Zambrano

 Implementación EPA
Subdirección de Diseño instruccional

17.- Complete las opciones de "Name" y "Message" y vea el resultado

18.- A continuación ingrese en el campo "Message" el siguiente frame:

<iframe src="http://www.duoc.cl"></iframe>

¿Cuál fue el resultado?

19.- Repita la operación con el nivel de seguridad en "medium" y "high", comente:

Ejecución de comandos:

20.- Configure nuevamente el nivel de seguridad de DVWA Security en low

21.- Haga click en la opción "Command Execution"

22.- Ingrese una dirección valida de Internet en el cuadro de dialogo y observe el resultado.

23.- A continuación ingrese en el cuadro de dialogo lo siguiente:

Docente Diseñador Jorge Guzmán Revisor metodológico Alicia Zambrano

 Implementación EPA
Subdirección de Diseño instruccional

1 | hostname

¿Cuál fue el resultado?

24.- Ahora ingrese lo siguiente:

1 | ls -la

¿Cuál fue el resultado? ¿Qué puede concluir?

25.- A través de esta experiencia trate de averiguar lo siguiente:

- ¿en qué directorio está situado el servidor?

- ¿con que usuario está corriendo el servidor web?

- ¿qué servicios están ejecutándose en el servidor?

- ¿qué usuarios están conectados al servidor?

- ¿cuál es el nombre y sistema operativo del servidor?

- ¿cuál es listado de usuarios creados en el servidor?

26.- Cambie el nivel de seguridad a "medium" y "high" e inténtelo nuevamente.

¿cuál fue el resultado?

Docente Diseñador Jorge Guzmán Revisor metodológico Alicia Zambrano