27032017 100957Test de Penetración a La Aplicación BADSTOREDescripción completa
27032017 100957Test de Penetración a La Aplicación BADSTOREFull description
Descripción completa
scan tool dari efiDeskripsi lengkap
Descrição completa
macam-macam alat scanFull description
Este método no destructivo permite explorar y conocer el suelo y sus características bajo la superficie hasta 100m de profundidad. Como un sismo afectará las estructuras del lugar de forma p…Descripción completa
Descripción completa
Deskripsi lengkap
Full description
PNGENALAN PMSFull description
scan tool dari efiFull description
Avanti Antenna ManualDescrição completa
PNLDescripción completa
Descripción completa
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno alumno
Fecha
Apellidos: Nombre:
Acc t i v i d a d e s A Trab Tr abaj ajo: o: Te Test st de pe pene netr trac ació ión n a la ap apli lica caci ción ón BA BADS DSTO TORE RE utilizando un Scanner de vulnerabilidades de aplicaciones web Pautas de elaboración elaboración Descara: ORA!"E virtualbo# desde $ttps:%%www&virtualbo#&or% $ttps:%%www&virtualbo#&or% e e instala 'A( desde: $ttps:%%www&owasp&o $ttps:%% www&owasp&or%inde#&p$ r%inde#&p$p%O)AS(*'ed* p%O)AS(*'ed*Attac+* Attac+*(ro#,*(rojec (ro#,*(rojectt Descara la m-.uina virtual con la aplicación BADSTORE/ desde: $ttps:%%www&dropbo#&com%s$%0ewzuossz.sl+o $ttps:%%www&dropbo #&com%s$%0ewzuossz.sl+o+%AAD"1!Si2+o3( +%AAD"1!Si2+o3()dm4nwj5D" )dm4nwj5D"6a 6a 7dl89 mporta el servicio virtualizado badstore&ova desde ORA!"E virtualbo#& En con4i con4iura uració ción n ; almace almacenam namie iento nto// asocia asocia la imae imaen n BadSto BadStore; re;<=< <=<&is &iso o en el controlador DE >cdrom? , con4iura la m-.uina virtual para .ue arran.ue primero desde el cdrom&
!rea una red virtualbo# 5OST ON"6 en @RTA"BO2 ;; Arc$ivo; pre4erencias; red; redes solo an4itrión; aCadir una red; $abilitar D!5( , con4iurar de la siuiente 4orma:
TEMA 2 – Actiidades
niversidad nternacional de "a Rioja >NR?
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
!on4iura el adaptador der red solo;an4itrión con las siuientes direcciones:
TEMA 2 – Actiidades
niversidad nternacional de "a Rioja >NR?
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
!omprobar en la con4iuración de la m-.uina virtual BADSTORE ;; RED .ue el ADA(TADOR = est- $abilitado , conectado a ADA(TADOR SO"O AN3TRON& Arranca la m-.uina virtual , ejecuta ifconfig -a para comprobar la dirección ( asociada al dispositivo et$9& ncluir en el 4ic$ero 5OST de la m-.uina an4itriona la entrada correspondiente a la dirección ( de ET59& (or ejemplo/ si la dirección ( obtenida por D5!( para el dispositivo ET59 es =<&=1F&G1&==9: =<&=1F&G1&==9
www&badstore&net
Realiza el test de penetración de la aplicación BADSTORE con el Scanner de vulnerabilidades 'A( atacando al nombre asociado a la dirección del dispositivo et$9 obtenida en el paso anterior: $ttp:%%www& badstore&net%ci;bin%badstore&ci Audita manualmente al menos tres vulnerabilidades para comprobar la veracidad de las alertas por parte de 'A(& Se podr- disponer de un procedimiento de test de penetración con 'A( disponible en vuestra carpeta personal& Debes con4eccionar una memoria e#plicando el proceso , los resultados obtenidos adjuntando el in4orme de la $erramienta 'A(& E!tensión m"!ima# =G p-inas >Heoria == e interlineado =/G?&
TEMA 2 – Actiidades
niversidad nternacional de "a Rioja >NR?
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Test de penetración a la aplicación BADSTORE utilizando 'A( na vez importada nuestra m-.uina virtual con badstore comprobamos la con4iuración de red& @eri4icamos .ue el adaptador = este $abilitado , conectado al adaptador solo an4itrión&
na vez iniciada nuestra m-.uina virtual ejecutamos el comando i4con4i Ia para comprobar la in4ormación de nuestra tarjeta de red especJ4icamente la (&
En la ma.uina an4itrion editamos el arc$ivo $ost/ en nuestro caso )indos =9 nos diriimos a la ruta K!:LL)indowsLS,stemM
TEMA 2 – Actiidades
niversidad nternacional de "a Rioja >NR?
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Abrimos el arc$ivo con cual.uier editor de te#to , areamos la ( de nuestra ma.uina virtual seuido de www&badstore&net , uardamos el arc$ivo&
(ara comprobar .ue la aplicación badsote esta 4uncionando diitmos www&badstore&net en un naveador de nuestra ma.uina an4itrion&
TEMA 2 – Actiidades
niversidad nternacional de "a Rioja >NR?
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
niciamos 'A(/ una vez levante el H/ nos encontraremos con una aplicación mu, intuitiva , sencilla de usar:
En el campo KR" to attac+ inresamos el taret a analizar/ en ste primer caso analizaremos/ cabe aclarar .ue siempre debemos inresar el protocolo/ es decir si el sitio .ue .ueremos analizar se comunica por $ttp o por $ttps/ si inresamos solo e nombre de dominio nos mostrar- un error:
nresamos la url , Attac+ de sta manera no sólo corremos un scannin activo/ sino tambin .ue corre el spider/ 4uzzea , lanza brute 4orce&
TEMA 2 – Actiidades
niversidad nternacional de "a Rioja >NR?
Asignatura
Datos del alumno
Seguridad en Aplicaciones Online y Bases de Datos
A
partir
de
Fecha
Apellidos: Nombre:
ese
momento
'A(
empezar-
a
buscar
vulnerabilidades
indiscriminadamente& "o primero .ue $ar- ser- recorrer todas las R" del sitio a travs del Spider& De esta 4orma podremos tener un mapa de la web&
!uando se $ace este recorrido por todas las R"s a travs del Spider/ se va analizando cada una de las R" encontradas en busca de in4ormación sensible/ , en caso de encontrar aluna R" .ue est cataloada como sospec$osa/ se mostrar- un alerta indicando su rado de rieso/ es decir/ si la vulnerabilidad es rabe/ media/ o casi sin importancia&
TEMA 2 – Actiidades
niversidad nternacional de "a Rioja >NR?
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
!uando el Spider 4inaliza su recorrido/ autom-ticamente pasa a realizar un Escaneo Activo del sitio/ de todas las R" .ue se encontraron anteriormente& Es a.uJ donde 'A( $ace ma,or ruido en su ata.ue/ ,a .ue al tratarse de un Esc-ner Activo/ lo .ue $ar- ser- probar todo tipo de ata.ues en las direcciones econtradas& Esto implica desde una bPs.ueda de con4iuración en un simple par-metro de aluno de los arc$ivos .ue compone la web/ $asta ata.ues de SQ" injection/ 2DD/ "3/ R3"/ etc&
Si damos clic sobre el boton detalles del proreso se mostrara la siuiente ventana en la cual podemos observar el proreso del escaneo activo&
TEMA 2 – Actiidades
niversidad nternacional de "a Rioja >NR?
Asignatura Seguridad en Aplicaciones Online y Bases de Datos
Datos del alumno
Fecha
Apellidos: Nombre:
Al 4inalizar el proceso anterior/ $abr- terminado la bPs.ueda autom-tica de vulnerabilidades , nos llevara a la pestaCa de Alertas donde podremos ver el resultado de todas las vulnerabilidades encontradas en 4unción de su rieso& Este panel donde se muestra las posibles vulnerabilidades , el rieso .ue conlleva/ muestra adem-s/ in4ormación sobre cómo se puede vulnerar/ , .u medidas se pueden tomar para evitar .ue dic$o 4allo de seuridad sea vulnerable&
TEMA 2 – Actiidades
niversidad nternacional de "a Rioja >NR?
Asignatura Seguridad en Aplicaciones Online y Bases de Datos