Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 119 vistas

    Test de Penetracion (Seguridad en LIinea)

    Cargado por

    Victor Bustamante Pinedo
    Este documento describe una actividad para que el alumno realice un escaneo de vulnerabilidades en la aplicación web BadStore utilizando el scanner ZAP. El alumno debe descargar e instalar las herramientas necesarias, configurar la máquina virtual con BadStore, escanear la aplicación con ZAP, auditar manualmente vulnerabilidades encontradas y generar un informe.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Test de Penetracion (Seguridad en LIinea)

    Cargado por

    Victor Bustamante Pinedo
    119 vistas8 páginas
    Este documento describe una actividad para que el alumno realice un escaneo de vulnerabilidades en la aplicación web BadStore utilizando el scanner ZAP. El alumno debe descargar e instalar las herramientas necesarias, configurar la máquina virtual con BadStore, escanear la aplicación con ZAP, auditar manualmente vulnerabilidades encontradas y generar un informe.

    Descripción original:

    test solucion

    Título original

    Test de Penetracion(Seguridad en LIinea)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe una actividad para que el alumno realice un escaneo de vulnerabilidades en la aplicación web BadStore utilizando el scanner ZAP. El alumno debe descargar e instalar las herramientas necesarias, configurar la máquina virtual con BadStore, escanear la aplicación con ZAP, auditar manualmente vulnerabilidades encontradas y generar un informe.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    119 vistas8 páginas

    Test de Penetracion (Seguridad en LIinea)

    Cargado por

    Victor Bustamante Pinedo
    Este documento describe una actividad para que el alumno realice un escaneo de vulnerabilidades en la aplicación web BadStore utilizando el scanner ZAP. El alumno debe descargar e instalar las herramientas necesarias, configurar la máquina virtual con BadStore, escanear la aplicación con ZAP, auditar manualmente vulnerabilidades encontradas y generar un informe.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 8

    Asignatura Datos del alumno Fecha

    Seguridad en Apellidos: Bustamante Pinedo


    Aplicaciones Online Nombre: Victor

    Actividad: Test de penetración a la aplicación web


    BadStore utilizando un scanner de aplicaciones
    web

     Objetivos de la actividad:

    • Vas a aprender a encontrar vulnerabilidades de seguridad en una aplicación

    web.
    • Vas a explotar vulnerabilidades de seguridad en una aplicación web.

    • Vas a aprender a utilizar un scanner de vulnerabilidades de aplicaciones web a


    través de un procedimiento por fases

     Descripción de la actividad. Realización de un test de penetración a la aplicación


    web Badstore.

    Descarga:

    • ORACLE Virtualbox desde https://www.virtualbox.org/ e instala ZAP desde:


    https://owasp.org/www-project-zap/

    • La máquina virtual con la aplicación BADSTORE, desde:


    https://www.dropbox.com/sh/7ewzuosszqslkok/AADL6CSiXkoFPWdmfnwjHD
    LYa?dl=0
    © Universidad Internacional de La Rioja (UNIR)

    • Importa el servicio virtualizado badstore.ova desde ORACLE virtualbox.

    Actividades 1
    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Bustamante Pinedo
    Aplicaciones Online Nombre: Victor

    • En configuración - almacenamiento, asocia la imagen BadStore-212.iso en el


    controlador IDE (cdrom) y configura la máquina virtual para que arranque
    primero desde el cdrom.

    Figura 1. Ejemplo 1 configuración. Fuente: elaboración propia.

    • Crea una red virtualbox HOST ONLY en VIRTUALBOX (Archivo- preferencias-


    red- redes solo anfitrión- añadir una red- habilitar DCHP) según versión y
    configurar de la siguiente forma:

    © Universidad Internacional de La Rioja (UNIR) Figura 2. Ejemplo 2 configuración. Fuente: elaboración propia.

    • Configura el adaptador de red solo-anfitrión con las siguientes direcciones:

    Actividades 2
    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Bustamante Pinedo
    Aplicaciones Online Nombre: Victor

    Figura 3. Ejemplo 3 configuración. Fuente: elaboración propia.

    Figura 4. Ejemplo 4 configuración. Fuente: elaboración propia.

    • Comprobar en la configuración de la máquina virtual Badstore: red que el


    © Universidad Internacional de La Rioja (UNIR)
    adaptador 1 está habilitado y conectado a adaptador solo anfitrión.

    Actividades 3
    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Bustamante Pinedo
    Aplicaciones Online Nombre: Victor

    Figura 5. Ejemplo 5 configuración. Fuente: elaboración propia.

    • Arranca la máquina virtual y ejecuta ifconfig -a para comprobar la dirección IP

    asociada al dispositivo eth0.


    • Incluir en el fichero host de la máquina anfitriona la entrada correspondiente

    a la dirección IP de ETH0. Por ejemplo, si la dirección IP obtenida por DHCP


    para el dispositivo ETH0 es 192.168.56.110:
    © Universidad Internacional de La Rioja (UNIR)

    Actividades 4
    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Bustamante Pinedo
    Aplicaciones Online Nombre: Victor

    192.168.56.110 www.badstore.net

    • Realiza el test de penetración de la aplicación Badstore con el Scanner de


    vulnerabilidades ZAP atacando al nombre asociado a la dirección del
    dispositivo eth0 obtenida en el paso anterior: http://www.badstore.net/cgi-
    bin/badstore.cgi

    © Universidad Internacional de La Rioja (UNIR)

    Actividades 5
    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Bustamante Pinedo
    Aplicaciones Online Nombre: Victor

    Este escaneo implica desde un testeo de configuraciones sensibles en las paginas


    hasta pruebas o ataques sql-injection, RFL, etc.

    • Audita manualmente al menos tres vulnerabilidades para comprobar la


    veracidad de las alertas por parte de ZAP.

    © Universidad Internacional de La Rioja (UNIR)

    Actividades 6
    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Bustamante Pinedo
    Aplicaciones Online Nombre: Victor

    Divulgación de error de aplicación la cual es de riesgos medio.

    © Universidad Internacional de La Rioja (UNIR)


    Observamos la segunda vulnerabilidad encabezado xframe-option no establecido.
    consiste en que el encabezado xframe-options no incluido al realizar peticiones
    https.

    Actividades 7
    Asignatura Datos del alumno Fecha
    Seguridad en Apellidos: Bustamante Pinedo
    Aplicaciones Online Nombre: Victor

    • Se podrá disponer de un procedimiento de test de penetración con ZAP


    disponible en vuestra carpeta personal.
     Extensión: debes confeccionar una memoria en formato pdf, explicando el
    proceso y los resultados obtenidos adjuntando el informe de la herramienta ZAP
    en formato html. 15 páginas en un documento de Word, tipo de letra Georgia,
    tamaño 11 e interlineado 1,5.

     Rúbrica:

    Puntuación
    Peso
    Actividad 2 Descripción máxima
    %
    (puntos)
    Como se ha llevado a cabo el
    Criterio 1 3 30%
    procedimiento de test
    Resultados de vulnerabilidades
    Criterio 2 3 30%
    encontradas
    Auditoría de las vulnerabilidades
    Criterio 3 3 30%
    encontradas
    Criterio 4 Calidad de la memoria 1 10%
    10 100 %

    © Universidad Internacional de La Rioja (UNIR)

    Actividades 8

    También podría gustarte