Sunteți pe pagina 1din 10

Asignatura Datos del alumno Fecha

Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Actividades

Trabajo: Test de penetración a la aplicación BADSTORE


utilizando un Scanner de vulnerabilidades de aplicaciones web

Pautas de elaboración

Descarga:
ORACLE virtualbox desde https://www.virtualbox.org/ e instala ZAP desde:
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Descarga la máquina virtual con la aplicación BADSTORE, desde:


https://www.dropbox.com/sh/7ewzuosszqslkok/AADL6CSiXkoFPWdmfnwjHDLYa
?dl=0

Importa el servicio virtualizado badstore.ova desde ORACLE virtualbox.


En configuración - almacenamiento, asocia la imagen BadStore-212.iso en el
controlador IDE (cdrom) y configura la máquina virtual para que arranque primero
desde el cdrom.

Crea una red virtualbox HOST ONLY en VIRTUALBOX --> Archivo- preferencias- red-
redes solo anfitrión- añadir una red- habilitar DCHP y configurar de la siguiente forma:

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Configura el adaptador der red solo-anfitrión con las siguientes direcciones:

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Comprobar en la configuración de la máquina virtual BADSTORE --> RED que el


ADAPTADOR 1 está habilitado y conectado a ADAPTADOR SOLO ANFITRION.

Arranca la máquina virtual y ejecuta ifconfig -a para comprobar la dirección IP


asociada al dispositivo eth0.

Incluir en el fichero HOST de la máquina anfitriona la entrada correspondiente a la


dirección IP de ETH0. Por ejemplo, si la dirección IP obtenida por DHCP para el
dispositivo ETH0 es 192.168.56.110:
192.168.56.110 www.badstore.net

Realiza el test de penetración de la aplicación BADSTORE con el Scanner de


vulnerabilidades ZAP atacando al nombre asociado a la dirección del dispositivo
eth0 obtenida en el paso anterior: http://www. badstore.net/cgi-bin/badstore.cgi

Audita manualmente al menos tres vulnerabilidades para comprobar la veracidad de


las alertas por parte de ZAP.

Se podrá disponer de un procedimiento de test de penetración con ZAP disponible


en vuestra carpeta personal.

Debes confeccionar una memoria explicando el proceso y los resultados obtenidos


adjuntando el informe de la herramienta ZAP.

Extensión máxima: 15 páginas (Georgia 11 e interlineado 1,5).

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Test de penetración a la aplicación BADSTORE utilizando ZAP

Una vez importada nuestra máquina virtual con badstore comprobamos la


configuración de red.

Verificamos que el adaptador 1 este habilitado y conectado al adaptador solo anfitrión.

Una vez iniciada nuestra máquina virtual ejecutamos el comando ifconfig –a para
comprobar la información de nuestra tarjeta de red específicamente la IP.

En la maquina anfitrion editamos el archivo host, en nuestro caso Windos 10 nos


dirigimos a la ruta “C:\\Windows\System32\drivers\etc”

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Abrimos el archivo con cualquier editor de texto y agregamos la IP de nuestra maquina


virtual seguido de www.badstore.net y guardamos el archivo.

Para comprobar que la aplicación badsote esta funcionando digitmos www.badstore.net


en un navegador de nuestra maquina anfitrion.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Iniciamos ZAP, una vez levante el GUI, nos encontraremos con una aplicación muy
intuitiva y sencilla de usar:

En el campo “URL to attack” ingresamos el target a analizar, en éste primer caso


analizaremos, cabe aclarar que siempre debemos ingresar el protocolo, es decir si el
sitio que queremos analizar se comunica por http o por https, si ingresamos solo e
nombre de dominio nos mostrará un error:

Ingresamos la url y Attack de ésta manera no sólo corremos un scanning activo, sino
también que corre el spider, fuzzea y lanza brute force.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

A partir de ese momento ZAP empezará a buscar vulnerabilidades


indiscriminadamente. Lo primero que hará será recorrer todas las URL del sitio a
través del Spider. De esta forma podremos tener un mapa de la web.

Cuando se hace este recorrido por todas las URLs a través del Spider, se va analizando
cada una de las URL encontradas en busca de información sensible, y en caso de
encontrar alguna URL que esté catalogada como sospechosa, se mostrará un alerta
indicando su grado de riesgo, es decir, si la vulnerabilidad es grabe, media, o casi sin
importancia.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Cuando el Spider finaliza su recorrido, automáticamente pasa a realizar un Escaneo


Activo del sitio, de todas las URL que se encontraron anteriormente.

Es aquí donde ZAP hace mayor ruido en su ataque, ya que al tratarse de un Escáner
Activo, lo que hará será probar todo tipo de ataques en las direcciones econtradas. Esto
implica desde una búsqueda de configuración en un simple parámetro de alguno de los
archivos que compone la web, hasta ataques de SQL injection, XDD, LFI, RFL, etc.

Si damos clic sobre el boton detalles del progreso se mostrara la siguiente ventana en la
cual podemos observar el progreso del escaneo activo.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Al finalizar el proceso anterior, habrá terminado la búsqueda automática de


vulnerabilidades y nos llevara a la pestaña de Alertas donde podremos ver el resultado
de todas las vulnerabilidades encontradas en función de su riesgo. Este panel donde se
muestra las posibles vulnerabilidades y el riesgo que conlleva, muestra además,
información sobre cómo se puede vulnerar, y qué medidas se pueden tomar para evitar
que dicho fallo de seguridad sea vulnerable.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Auditoria de vulnerabilidades
dd

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

S-ar putea să vă placă și