Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Romero Karla y Quinones Luis LabBadstore

    Enviado por

    lsquinones
    336 visualizações14 páginas
    Laboratorio Badstore

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Laboratorio Badstore

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    336 visualizações14 páginas

    Romero Karla y Quinones Luis LabBadstore

    Enviado por

    lsquinones
    Laboratorio Badstore

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 14

    Asignatura Integrantes del grupo Fecha

    Seguridad en Romero Karla Alexandra y Quiñones Luis


    Aplicaciones Online Santiago 2017/10/11

    Actividades
    Laboratorio: Test de penetración a la aplicación BADSTORE
    utilizando un scanner de vulnerabilidades de aplicaciones web
    Configuración: Para este laboratorio configuramos las herramientas utilizadas según
    lo especificado en el documento de laboratorio.
    Una vez configuradas las herramientas procedimos a la instalación del plugin para
    ataque manual a la base de datos MySQL de Badstore.

    Se utilizó políticas de escaneo por defecto.

    Investigamos que las tecnologías utilizadas en Badstore son: MySQL, Ajax, Apache,
    RSS.

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Se procedió a la configuración de objetivos inyectables.

    Y se debe establecer el uso de certificados SSL/TLS en caso que se desee testear el


    protocolo https.

    También se puede configuración de ZAP para que funcione en modo proxy


    interceptador, la herramienta debe utilizar una entidad certificadora.

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Activar las opciones HTTP Session, la ID de Session que tiene por defecto ZAP.

    Configuración de reglas de scan pasivo.

    Se configuro el proxy local para capturar el trafico generado desde el navegador a


    Badstore.

    Finalmente se configura el proxy en el navegador.

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Desarrollo del CRAWLER MANUAL.


    Primer reto: “Obtención del usuario administrador”.
    Ataque utilizado “Data tamperig” -> alteración de parámetros para extracción de datos
    de usuario.
    Paso 1. Registro de usuario

    Paso 2. Captura de tráfico de generado desde formulario de registro de badstore.

    Paso 3. Reenvío de parámetros de registro para acceder como usuario administrador,


    lo que utilizamos fue el parámetro “role=U” y lo cambiamos por “role=A” A 
    Administrador, y registramos un usuario como administrador, en este caso es:
    lsquinonesc@gmail.com.

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Paso 4. Acceso a Badstore con el usuario administrador

    Observemos que nos da el mensaje de “Welcome lsquinonesc” como usuario


    administrador.

    Y podemos observar la respuesta de ZAP ante esta petición.

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Con el rol de Administrador, se tiene privilegios de administración, se pueden ver la


    lista de usuarios registrados.

    Ahora procedemos a la activación de plugin para importación de WSDL desde URL.

    Buscamos la ruta de wsdl de badstore en ZAP.

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Ahora procedemos a la configuración del contexto para la sesión.

    Configuración 1. Tecnología a ……

    Configuración 2. Autentificación donde se escoje el usuario que utilizamos


    para pasar los parámetros como administradores de Badstore.

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Configuración 3. En el apartado usuarios debe estar habilitado el usuario con


    el que entramos como administrador.

    Configuración 4. Session Management.

    Configuración 5. Autorización, debe estar activado el código de esyado de


    HTTP a 401.

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Finalmente hacemos el Ataque con click derecho en Default Context y en el Sitio


    Badstore en “Ataque”, damos clic en Spider, realizamos la configuración necesaria.

    Resultado del ataque:

    GETS y POST con posibles vulneravilidades de Badstore:

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Obtención de todos las URL´S de Badstore:

    Vulnerabilidades activas.
    Suplier, visualizamos las cuentas encriptadas de Badstore.

    Procedemos a desencriptar una cuenta (cualquiera).

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Ataque por Inyección SQL


    Vulnerabilidad encontrada de Inyección SQL.

    En la parte de buscar en el sitio web de Badstor colocamos la siguente sentencia “' or


    '1'= '1 # ”.

    Tenemos como resultado la consulta de la base de datos.

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Ataque por Cross Site Scripting


    Vulnerabilidad encontrada para poder atacar por Cross Site Scripting.

    Entramos a la página Sign Our Guestbook y en el formulario escribimos los siguientes


    datos:

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    La respuesta a este ataque es la siguiente:

    Ejecución del escaneo activo a Badstore.


    Avance del escaneo activo.

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Integrantes del grupo Fecha
    Seguridad en Romero Karla Alexandra y Quiñones Luis
    Aplicaciones Online Santiago 2017/10/11

    Para verificar estos resultados se puede revisar el informe adjunto “ZAP Scanning
    Report.”

    TEMA 3 – Actividades © Universidad Internacional de La Rioja. (UNIR)

    Você também pode gostar