Sunteți pe pagina 1din 11

Actividades

Trabajo: Auditar y asegurar un SGBD MYSQL


Introducción.
MySQL es un sistema gestor de base de datos relacional de código abierto, bastante
conocido en el mercado. MySQL tiene las capacidades y funcionalidades de almacenar y
distribuir grandes cantidades de datos.
La administración de base de datos de MySQL permite crear base de datos y tablas; en
donde se pueden realizar procesos como la inserción, modificación, eliminación y
ordenación de datos.
Características:
 Soporta gran cantidad de tipos de datos para las columnas.
 Dispone de API’s en gran cantidad de lenguajes (C, C++, Java, PHP, etc).
 Soporta hasta 32 índices por tabla.
 Gestión de usuarios y passwords, manteniendo un muy buen nivel de seguridad
en los datos.
 Condición de open source de MySQL hace que la utilización sea gratuita y se
puede modificar con total libertad.
 Se puede descargar su código fuente. Esto ha favorecido muy positivamente en
su desarrollo y continuas actualizaciones.
 Es una de las herramientas más utilizadas por los programadores orientados a
Internet.
 Infinidad de librerías y otras herramientas que permiten su uso a través de gran
cantidad de lenguajes de programación.
 Gran rapidez y facilidad de uso.
 Fácil instalación y configuración.

Objetivos
Explotar vulnerabilidades que afectan a bases de datos, auditar su seguridad e
implementar una guía de seguridad de un SGBD MYSQL.

Desarrollo.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)


Descarga la aplicación WAVSEP desde:
https://sourceforge.net/projects/wavsep/files/WAVSEP-v1.5/wavsep.war/download

Sigue las instrucciones de instalación de WAVSEV:


https://github.com/sectooladdict/wavsep/wiki/WAVSEP-Installation-and-
Deployment y arranca el servidor de aplicaciones Apache tomcat ejecutando el startup-
bat en el directorio /bin.

Seguir los pasos siguientes:

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)


1.- Descargar e instalar Apache Tomcat.

Ejecutar el archivo MSI para iniciar la instalación. En la mayoría de ventanas solo será
necesario dar clic en next.

Para revisar si el servicio de apache esta funcionado podemos ir a la URL:


http://localhost:8080/

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)


2.- Descargar e Instalar MySQL
Ejecutar el archivo MSI para iniciar la instalación. En este programa le daremos clics en
next.

Elegimos los complementos que se quieran instalar, y damos clic en Instalar.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)


Finalizada la instalación de los módulos será turno de proceder a una configuración
inicial antes de ejecutar los correspondientes servicios.

El resto de opciones se dejan por defecto tal y como están.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)


Configurando MySQL Wizard. En esta sección se configurará la contraseña al usuario
root;
Password: 123456

Por último, damos clic en Finalizar con esto habremos finalizado el proceso para instalar
MySQL.

3.- Descargar el archivo de WavSep que se obtiene de la siguiente página:


https://sourceforge.net/projects/wavsep/
El siguiente paso será copiar el archivo wavsep.war a la carpeta webapps
contenida dentro del directorio del programa Tomcat.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)


4.- Accederemos a la aplicación en la siguiente URL
http://localhost:8080/wavsep/wavsep-install/install.jsp
Colocamos el usuario: root y contraseña: 123456

Si todas las instalaciones fueron correctas la pantalla que nos arrojará será la
siguiente:

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)


5.- Solo nos resta acceder a la aplicación en la siguiente URL y revisar los apartados
de MySQL que es en donde probaremos el escáner de vulnerabilidades de Imperva:
http://localhost:8080/wavsep/

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)


Instalación de Imperva.

Para su correcto funcionamiento nos solicitará el JDBC driver para MySQL, esto para
poder hacer la lectura de la base de datos, esta se descargará:
https://dev.mysql.com/downloads/connector/j/5.1.html

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)


Este conector se deberá de descomprimir en la siguiente carpeta:

Los datos de conexión son los siguientes:

Después de que termina de realizar la revisión, nos muestra un reporte de las


vulnerabilidades.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)


TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)