Scribd
Cargar
290 vistas8 páginas

OWASP

El documento describe los pasos para importar una máquina virtual con una aplicación web vulnerable llamada Badstore, ejecutar un escaneo de vulnerabilidades usando la herramienta ZAP, y auditar manualmente tres vulnerabilidades encontradas. Se explica que ZAP recorre todas las URLs, analiza cada página buscando información sensible, y realiza un escaneo activo que incluye pruebas de inyección SQL y otros ataques. Finalmente, ZAP genera una lista de alertas de vulnerabilidades categorizadas por nivel de riesgo.

Cargado por

LAURA MARCELA SERRANO GARZON
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
290 vistas8 páginas

OWASP

El documento describe los pasos para importar una máquina virtual con una aplicación web vulnerable llamada Badstore, ejecutar un escaneo de vulnerabilidades usando la herramienta ZAP, y auditar manualmente tres vulnerabilidades encontradas. Se explica que ZAP recorre todas las URLs, analiza cada página buscando información sensible, y realiza un escaneo activo que incluye pruebas de inyección SQL y otros ataques. Finalmente, ZAP genera una lista de alertas de vulnerabilidades categorizadas por nivel de riesgo.

Cargado por

LAURA MARCELA SERRANO GARZON
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Laura M Serrano Garzón

Actividades

Test de penetración a la aplicación web Badstore utilizando


una herramienta de análisis dinámico

Importa el servicio virtualizado badstore.ova desde ORACLE VirtualBox. En


configuración - almacenamiento, asocia la imagen BadStore-212.iso en el
controlador IDE (cdrom) y configura la máquina virtual para que arranque primero
desde el cdrom.

Arranca la máquina virtual y ejecuta ifconfig para comprobar la dirección IP


asociada al dispositivo eth0.
Laura M Serrano Garzón

Realiza el test de penetración de la aplicación BADSTORE con el Scanner de


vulnerabilidades ZAP atacando a la dirección asociada al dispositivo eth0 obtenida
en el paso anterior cambiando dir_ip por la dirección: ej.: http://dir_ip/cgi-
bin/badstore.cgi

Comprobamos la dirección
http://192.168.56.110/cgi-bin/badstore.cgi

Ejecutamos el ZAP
Laura M Serrano Garzón

Realizamos el test

Audita manualmente al menos tres vulnerabilidades para comprobar la


veracidad de las alertas por parte de ZAP

1)
Laura M Serrano Garzón

Observamos la primera vulnerabilidad divulgación de error de aplicación la cual es de


riesgo medio, esta vulnerabilidad consiste en que la pagina contiene un mensaje de
error el cual podría revelar información sensible para ser usado por un atacante como
el nombre del servidor web y su versión.
La solución a esta vulnerabilidad es gestionar páginas de errores personalizadas,
mostrando un error genérico del lado del cliente.

2)

Observamos la segunda vulnerabilidad encabezado xframe-option no establecido, es de


riesgo medio y consiste en que el encabezado xframe-options no está incluido al realizar
Laura M Serrano Garzón

peticiones http, lo cual estaría expuesto para que atacantes lo utilicen, como por
ejemplo el ClickJacking

3)

La tercera vulnerabilidad absenseog anti-CSRF token, es de riesgo bajo y consiste en el


envió de peticiones sin o con ausencia de anti-CSRF token para evitar las falsas
peticiones y así el robo de información.

Debes confeccionar una memoria explicando el proceso y los resultados


obtenidos adjuntando el informe de la herramienta ZAP.

Atacar una página mediante la UR


Laura M Serrano Garzón

A partir de ese momento la herramienta ZAP iniciara con la búsqueda de


vulnerabilidades, lo primero que hace esta herramienta es recorrer todas las URLs del
sitio a través del SPIDER y así tendremos un mapa del sitio.

Cuando el programa SPIDER está recorriendo las URLs va analiza cada una de ella y
buscando cualquier información que sea sensible de tal manera que si encuentra en
alguna de ellas algo sospechoso emite la alerta catalogando el riesgo como bajo, medio,
alto o de información.

Una vez que el programa SPIDER termina de buscar todas las URLs, ZAP procede a
realizar un escaneo activo de todas las páginas encontradas como lo vemos en la
siguiente figura.
Laura M Serrano Garzón

Este escaneo implica desde una búsqueda de configuraciones sensibles en las páginas
hasta pruebas o ataques sql-injection, XDD, LFI, RFL, entre otras, incluso podemos
observar el progreso del escaneo activo, lo cual nos despliega la siguiente pantalla.

Una vez finalizado estos procesos de búsqueda, escaneo y ataques, las herramientas nos
llevan a la pantalla de alertas, el cual nos da la lista de todas las vulnerabilidades y
posibles riesgos encontrados en dichas paginas categorizado por su nivel de riesgo y al
hacer clic en cada una de las vulnerabilidades podemos ver el detalle e información
relevante así como también la remediación sugerida para mitigar los riesgos.
Laura M Serrano Garzón

ALERTAS DETALLE ALERTAS

También podría gustarte