Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • PEC3 - Enunciado

    Cargado por

    herlish
    19 vistas3 páginas
    Este documento describe una actividad práctica sobre ataques de ciberseguridad. Los estudiantes usarán el laboratorio en línea Google Gruyere para realizar ataques como XSS, XSRF y manipulación de sesión. Deberán explicar cómo se realizan los ataques, grabar un video de 3 minutos mostrando los ataques realizados y describir cómo evitarlos. La actividad debe completarse de forma individual y dentro del plazo establecido.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento describe una actividad práctica sobre ataques de ciberseguridad. Los estudiantes usarán el laboratorio en línea Google Gruyere para realizar ataques como XSS, XSRF y manipulación de sesión. Deberán explicar cómo se realizan los ataques, grabar un video de 3 minutos mostrando los ataques realizados y describir cómo evitarlos. La actividad debe completarse de forma individual y dentro del plazo establecido.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    19 vistas3 páginas

    PEC3 - Enunciado

    Cargado por

    herlish
    Este documento describe una actividad práctica sobre ataques de ciberseguridad. Los estudiantes usarán el laboratorio en línea Google Gruyere para realizar ataques como XSS, XSRF y manipulación de sesión. Deberán explicar cómo se realizan los ataques, grabar un video de 3 minutos mostrando los ataques realizados y describir cómo evitarlos. La actividad debe completarse de forma individual y dentro del plazo establecido.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 3

    M1.

    870 - Fundamentos de ciberseguridad

    PAC3: ATAQUES

    Enunciado

    Nos pondremos en la piel de un atacante y utilizaremos el Laboratorio online que nos

    ofrece Google para realizar diferentes ataques (https://google-gruyere.appspot.com/ )

    como XSS ( Cross-Site Scripting), XSRF, XSSI, path transversal... .

    Algunos de los ataques los podremos resolver usando técnicas de caja negra, y otros

    requerirán de mira el código fuente (proporcionado también por Google en

    https://google-gruyere.appspot.com/gruyere-code.zip ). El código está escrito con Python.

    Leyendo el código fuente nos permitirá obtener una mejor comprensión de cómo

    funcionan las vulnerabilidades.

    Arrancamos una instancia de Gruyere con el link directo

    https://google-gruyere.appspot.com/start

    Entra en el portal y juega un poco para familiarizarte. Crea un usuario con tu correo de la

    UOC como user, personalízalo y crea varias entradas o snippets.

    1. (10%) Indica el link creado con tu instancia, y muestra a tu usuario con algunas
    entradas o snippets:

    2. (30%) Vamos a hacer unos retos de Cross Site Scripting (XSS). Por eso lo que
    haremos es:

    <Número asignatura> <Actividad> <semestre> pag. 1


    Estudios de Informática, Multimedia y Telecomunicación
    a. Busca información sobre Cross Site Scripting y explica con tus palabras cómo
    se hace el ataque. Recoge algunas referencias

    b. Realiza el ataque en el portal web de Gruyere donde puedas ver con un pop
    up la cookie de la sesión subiendo un archivo (FileUpload XSS).

    c. Realiza el ataque en el portal web de Gruyere en esta ocasión vía un atributo


    HTML.

    d. Indica cómo evitar estos ataques

    3. (30%) Haremos ahora de Manipulación del estado del cliente (Client Site
    Manipulation). Por eso lo que haremos es

    a. Busca información sobre ataques de manipulación del cliente y explícalo con


    tus palabras. Poner algunas referencias

    b. Realiza el ataque en el portal web de Gruyere donde eleves los privilegios


    de tu usuario a administrador.

    c. Ejecuta el ataque con la manipulación de la cookie de sesión.

    d. Indica cómo evitar este ataque

    4. (30%) A continuación un ataque de acceso de Path transversal y aprovecharse de


    un error o vulnerabilidad de configuración.

    a. Busca información sobre los ataques indicados.

    b. Realiza el ataque en el portal web de Gruyere donde puedas acceder al


    archivo de secret.txt mediante un ataque de Path Transversal.

    c. Realiza el ataque en el portal web de Gruyere donde se haga un volcado de


    toda la información de usuarios y contraseñas.

    d. Indica cómo evitar estos ataques

    Nota: Los ataques recogidos en esta entrega son sólo algunos de los posibles retos a
    ejecutar. Le animamos a que haga todos los recogidos en el portal de Google Gruyere.

    Para los ejercicios del 2 al 4 haga un vídeo mostrando todos los ataques desarrollados,
    cuelgue el vídeo en el VIDEOPAC, el video debe durar como máximo 3 minutos y ver los
    diferentes ataques. Importante, debes salir tú también en el vídeo para verificar su
    autoría.

    <Número asignatura> <Actividad> <semestre> pag. 2


    Estudios de Informática, Multimedia y Telecomunicación
    El vídeo no puede superar los 3 minutos.

    Criterios de evaluación
    En las actividades se tendrán que especificar en forma detallada los pasos realizados y
    las decisiones tomadas.

    La PAC es un trabajo personal e individual, realizado por el alumno para este curso y no
    se admitirán copias totales o parciales de contenidos. Después de comprobarlos, los
    trabajos que sean considerados copias serán suspendidos y se informará a la dirección
    de los estudios para que tomen las medidas oportunas especificadas en la normativa de
    la UOC sobre plagio y copias (consultar la guía docente al respecto).

    La entrega de la presente PEC por parte del alumno implica que ha leído y acepta las
    condiciones y que la PAC cumple con los criterios anteriormente expuestos en cuanto a
    privacidad y autoría.

    Formato y fechas de entrega


    La entrega se ejecutará en el apartado específico del aula RAC (Registro de Evaluación
    Continua).

    El plazo límite es el que se indica en el calendario de la asignatura. Dado el


    calendario, difícilmente pueden recordarse facilidades por el plazo de entrega. Por este
    motivo, deberá respetarse estrictamente la fecha de entrega.

    <Número asignatura> <Actividad> <semestre> pag. 3


    Estudios de Informática, Multimedia y Telecomunicación

    También podría gustarte