Documente Academic
Documente Profesional
Documente Cultură
A vulnerable web application designed to help assessing the features, quality and
accuracy of web application vulnerability scanners. This evaluation platform contains a
collection of unique vulnerable web pages that can be used to test the various properties
of web application scanners.
Por un lado, se compone de casos de test diseados cada uno con una
vulnerabilidad concreta como SQLI por ejemplo. Se trata de identificar para
los casos que se pide (NO TODOS) SI LAS HERRAMIENTAS LAS DETECTAN.
Una vulnerabilidad detectada cuando realmente existe es un VERDADERO
POSITIVO.
Por otro lado, WAVSEP tiene tambin casos de test para FALSOS
POSITIVOS, que son versiones de algunos de los casos de test con las
vulnerabilidades corregidas, es decir, no tienen vulnerabilidades. Un caso de
test de FALSO POSITIVO con una vulnerabilidad de SQLI CORREGIDA no
debera ser detectada por las herramientas, si la herramienta da una alerta
de SQLI est errando en la deteccin y por tanto es un FALSO POSITIVO.
De esta forma podemos medir la eficacia de un SCANNER y comparar con
otro en cuanto a detecciones correctas (VERDADEROS POSITIVOS) y a
detecciones incorrectas (FALSOS POSITIVOS)
INSTALACIN DE SOFTWARE.
1.1.
MYSQL 5.5.X
Hay que seguir las instrucciones de instalacin de WAVSEP (Wavsep Google
Project) desde http://code.google.com/p/wavsep/ , que requiere la
instalacin previa de especficas versiones de APACHE TOMCAT y de MYSQL.
La aplicacin WAVSEP est en http://sourceforge.net/projects/wavsep/files/?
source=navbar
(@) Use a JRE/JDK that was installed using an offline installation (the online installation caused
unknown bugs for some users).
(1) Download & install Apache Tomcat 6.x
(2) Download & install MySQL Community Server 5.5.x (Remember to enable remote root
access if not in the same station as wavsep, and to choose a root password that you
remember).
(3) Copy the wavsep.war file into the tomcat webapps directory (Usually "C:\Program
Files\Apache Software Foundation\Tomcat 6.0\webapps" - Windows 32/64 Installer)
(4) Restart the application server
(5) On WinXP, as long as you are using a high privileged user - you can skip this phase, on
Win7, make sure you run the tomcat server with administrative privileges (right click on and
execute),and on Ubuntu Linux, run the following commands:
sudo mkdir /var/lib/tomcat6/db
sudo chown tomcat6:tomcat6 /var/lib/tomcat6/db/
(6) Initiate the install script at: http://localhost:8080/wavsep/wavsep-install/install.jsp
(7) Provide the database host, port and root credentials to the installation script, in additional to
customizable wavsep database user credentials.
(8) Access the application at: http://localhost:8080/wavsep/
1.2.
INSTALAR IRONWASP
http://ironwasp.org/
1.3.
INSTALAR ZAP
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Son herramientas del tipo de caja negra y sirven para descubrir las
vulnerabilidades de una aplicacin web efectuando un test de penetracin.
Para ello siguen dos fases:
1. SPIDERING o CRAWLING. En esta fase llevan a cabo un
descubrimiento de la estructura del sitio web, directorios, URL,s, etc.
2. ANLISIS. Realizan el envo de peticiones maliciosas (con algn
PAYLOAD o cadena maligna) a la aplicacin, para ver si puede
constituir un intento de ataque analizando las respuestas que reciben
del servidor.
Los
scanners
automticos
tienen
sus
limitaciones
pueden
XSS.
SQLI.
PATH TRANSVERSAL.
COMMAND INJECTION.
DEFECTOS DE CONFIGURACIN.
PROBLEMAS RELACIONADOS CON JAVASCRIPT.
FILE INCLUSION.
XPATH INJECTION.
HTTP RESPONSE SPLITING.
Cada TEST CASE est diseado para probar una determinado vulnerabilidad.
Hay que comprobar si las herramientas seleccionadas son capaces de
detectar la vulnerabilidad para la cual el TEST CASE ha sido diseado y
contabilizar el nmero total de detecciones correctas. Es decir. Si el TEST
CASE N1 est diseado con una vulnerabilidad SQLI, hay que comprobar
que las herramientas la detectan, sin tener en cuenta detecciones otras
vulnerabilidades distintas de SQLI en este TEST CASE N1.
Ejecutar cada una de las herramientas para realizar scanners automticos
sobre los grupos de test cases solicitados y analizar los resultados para los
siguientes TEST CASES. (No tener en cuenta otras alertas aparte la
especficamente diseada para cada TEST CASE):
1.6.
8 different categories of false positive path traversal/LFI vulnerabilities (GET & POST)
6 different categories of false positive (xss via) remote file inclusion vulnerabilities (GET
& POST)
9 different categories of false positive unvalidated redirect vulnerabilities (GET & POST)
2. MEMORIA
La memoria debe contener los resultados de los scanner efectuados sobre
los casos de test especificados:
-
TABLAS (una para cada tipo de vulnerabilidad con cada uno de los
casos de test) con resultados de DETECCIN (verdaderos positivos)
de los scanner realizados con cada una de las 2 herramientas,
expresando en una fila final el porcentaje de detecciones de cada tipo
de vulnerabilidad.
TABLAS (una para cada tipo de vulnerabilidad con cada uno de los
casos de test) con resultados de los test de FALSOS POSITIVOS de los
scanner realizados con cada una de las 2 herramientas, expresando
en una fila final el porcentaje de falsos positivos de cada tipo de
vulnerabilidad.
TABLA
COMPARATIVA
DE
RESULTADOS
DE
LAS
HERRAMIENTAS CON PORCENTAJES DE DETECCIONES
FALSOS POSITIVOS DE CADA VULNERABILIDAD
2
Y
2.1.
USABILIDAD.
FUNCIONALIDADES Y POSIBILIDADES.
PRESENTACIN.
DOCUMENTACIN Y AYUDA.
CALIDAD DE INFORMES.
COBERTURA DE VULNERABILIDADES (TIPOS DE
VULNERABILIDADES QUE PUEDEN DETECTAR)
EFICACIA en cuanto a verdaderos y falsos positivos.
IMPRESIN GENERAL PERSONAL a MODO DE CONCLUSIN
...
INDICE
INTRODUCCIN
RESULTADOS
ANALISIS (usabilidad, funcionalidad, )
CONLUSIONES
REFERENCIAS
3. ENTREGABLE
1.
2. INFORME
ANEXO RECOMENDACIONES GENERALES
Se tienen que realizar scanners automticos.
Se recomienda realizar scanner separados por URL que agrupan las mismas
categoras de vulnerabilidades. Ejemplo:
http://localhost:8080/wavsep/active/SInjection-Detection-EvaluationPOST-500Error/index.jsp
Luego se atiende solo a los resultados relativos a los TEST CASES que se
piden.
Estas herramientas primero ejecutan una tarea de CRAWLING para descubrir
el contenido de la aplicacin objetivo.
Estudiar las opciones de configuracin, para adaptar los SCANNER de la
forma ms conveniente.
ANEXO ZAP
Revisar para familiarizase con la herramienta, las opciones de ANLISIS en Analizar y Herramientas (opciones). La ayuda de la
herramienta est bastante bien.
NOTA:
** Existen 3 tipos de Pruebas de Penetracion :
Pruebas de Penetracion de Caja Negra: Donde los pentesters
o analistas de seguridad no tienen conocimiento del
funcionamiento interno del sistema, y trabaja con la informacin
que puede conseguir por sus propios medios, igual que lo podra
hacer un delincuente informtico.
Pruebas de Penetracion de Caja Blanca: En este tipo de
pruebas los pentesters o analistas de seguridad tienen total
conocimiento del funcionamiento interno del sistema, y trabaja
con informacin que puede tener acceso uno o varios empleados
dentro de la organizacin.
Pruebas de Penetracion de Caja Gris: Donde los pentesters o
analistas de seguridad pueden tener conocimiento sobre algunos
aspectos del funcionamiento del sistema y de otros no.