Por ejemplo, en una de las lecciones el usuario debe usar SQL injection para robar números de tarjeta de crédito ficticios. La aplicacion es un ambiente realista de enseñanza, que provee a los usuarios con pistas y código para explicar mejor la lección. (Más información >>)

En el siguiente video tutorial veremos como llevar a cabo el proceso de instalación y ejecución de WebGoat en sistemas Linux.

Link:

Descargar video tutorial de instalación y ejecución de WebGoat en Linux (Password: www.dragonjar.org)

WebGoat es una aplicación web J2EE deliveradamente insegura, mantenida por OWASP y diseñada para enseñar lecciones de seguridad en aplicaciones Web. En cada lección, los usuarios deben demostrar su entendimiento de los problemas de seguridad al explotar la vulnerabilidad real en al aplicación WebGoat. Por ejemplo, en una de las lecciones el usuario debe usar SQL injection para robar números de tarjeta de crédito ficticios. La aplicacion es un ambiente realista de enseñanza, que provee a los usuarios con pistas y código para explicar mejor la lección.

WebGoat esta escrito en Java y por lo tanto se instala en cualquier plataforma con una máquina virtual de Java. Hay programas de instalación para Linux, OS X Tiger y Windows. Una vez instalado, el usuario puede revisar las lecciones y rastrear su progreso con el tablero electrónico. Actualmente hay mas de 30 lecciones, incluyendo las que lidian con los siguientes problemas:

• Secuencia de Comandos en Sitios Cruzados (Cross Site Scripting)
• Control de acceso
• Seguridad de Hilos
• Manipulación de campos ocultos
• Manipulación de parámetros
• Testing de sesiones inseguras
• Inyección SQL
• Inyección de SQL con números
• Inyección de SQL con cadenas de caracteres
• Servicios Web
• Autentificación fallida
• Los peligros de los comentarios HTML

Más información y descarga de WebGoat >>

En el siguiente video tutorial veremos el proceso necesario para llevar a cabo la instalación y ejecución del entorno de pruebas de seguridad en aplicativos Web: WebGoat en entornos Windows.

Link:

Descargar video tutorial de instalación y ejecución de WebGoat en Windows (Password: www.dragonjar.org)

Sin embargo, las herramientas de esta naturaleza a menudo son solo tan buenas como la lista de archivos y directorios con los que vienen. Un enfoque diferente fue usado para generar este proyecto. La lista fue generada desde cero, rastreando en Internet y colectando los directorios y archivos que son realmente usados por los desarrolladores, esto hace a DirBuster extremadamente efectivo encontrando esos archivos y directorios ocultos. Y como si esto no fuera suficiente, DirBuster también tiene la opción de realizar fuerza bruta, lo que no les deja lugar para esconderse a los archivos y directorios ocultos.

Características:
DirBuster tiene las siguientes características:

- Multi hilo (6000 peticiones/segundo)
- Funciona con http y https
- Busca directorios y archivos
- Búsqueda recursiva sobre los directorios que encuentra
- Escaneo basado en listas o fuerza bruta
- DirBuster puede ser iniciado en cualquier directorio
- Pueden ser agregadas cabeceras HTTP personalizadas
- Soporte para proxy
- Cambio automático entre peticiones HEAD y GET
- Modo analizador de contenidos cuando los intentos fallidos regresan como 200
- Puedes ser usadas extensiones de archivos personalizadas
- El desempeño puede ser ajustado mientras el programa está en ejecución

Más información y descarga del proyecto OWASP DirBuster >>

En el siguiente video tutorial se muestra el procedimiento necesario para llevara cabo un test de archivos y directorios “ocultos” en el servidor Web. Este proceso es realizado haciendo uso de la herramienta OWASP Dirbuster.

Link:

Descargar video tutorial de test de archivos y directorios en el servidor Web con OWASP DirBuster. (Password: www.dragonjar.org)

El escenario más común es la presencia de versiones anteriores renombradas de archivos modificados, archivos de inclusión que son cargados en el lenguaje de programación utilizado y pueden ser descargados en código fuente o incluso copias de seguridad manuales o automatizadas en forma de archivos comprimidos.

Todos estos archivos pueden brindar a la persona que hace las pruebas acceso al funcionamiento interno, puertas traseras, interfaces administrativos o incluso credenciales para conectar al interfaz administrativo o al servidor de base de datos.

Nikto:

Nikto (Linux)/Wikto (Windows) es un escanner de servidores Web, esto quiere decir que la herramienta realiza un escaneo de directorios y archivos potencialmente sensibles sobre los servidores web. (Más información…)

El siguiente video tutorial muestra el procedimiento para llevara cabo un test de listado de directorios y archivos de configuración en un servidor Web, todo esto haciendo uso de la herramienta Nikto/Wikto.

Link:

Descargar video tutorial de test de listado de directorios y archivos con Nikto/Wikto (Password: www.dragonjar.org)

El receptor de escucha es el punto de entrada a conexiones remotas a una base de datos Oracle. Escucha peticiones de conexión y realiza la gestión acorde de las mismas. Esta comprobación es posible si la persona a cargo de las pruebas puede acceder a este servicio — la comprobación debería ser realizada desde la Intranet (la mayoría de instalaciones de Oracle no exponen este servicio a la red externa).

El receptor escucha en el puerto 1521 por defecto (el puerto 2483 es el nuevo puerto oficialmente registrado para el receptor TNS y el 2484 para el receptor TNS Listener usando SSL). Es una buena práctica cambiar el receptor de este puerto a un número de puerto arbitrario. Si el receptor está “apagado” el acceso remoto a la base de datos no es posible. Si este es el caso, la aplicación fallaría, creando también un ataque de denegación de servicio.

Integrigy AppSentry Listener Check for the Oracle Database:

AppSentry Listener Security Check es una herramienta desarrollada para chequear las configuraciones de seguridad de los receptores de escucha y aplicaciones de la base de datos Oracle. (Más información…)

En el siguiente video tutorial se muestra el procedimiento de descubrimiento del servicio de escucha de Oracle y la ejecución de algunas pruebas al receptor haciendo uso de la herramienta Listener Security Check.

Link:

Descargar video tutorial de pruebas al listener de Oracle (Password: www.dragonjar.org)

Incluso cuando se instalan y utilizan normalmente cifrados de alto nivel, una configuración errónea en la instalación del servidor podría ser usada para forzar el uso de un cifrado más débil para obtener acceso al canal de comunicación supuestamente seguro.

Nessus:

Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance y reporte de los escaneos. Desde consola nessus puede ser programado para hacer escaneos programados con cron. (Más información…)

OpenSSL:

OpenSSL es un proyecto de software desarrollado por los miembros de la comunidad Open Source para libre descarga y está basado en SSLeay desarrollado por Eric Young y Tim Hudson. Consiste en un robusto paquete de herramientas de administración y librerías relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS). (Más información…)

SSLDigger:

Herramienta para auditar la seguridad en SSL, realizando pruebas de los cifrados que son soportados por un servidor. (Más información…)

El siguiente video tutorial muestra el proceso mediante el cual es posible realizar pruebas a distintos soportes criptográficos.

Link:

Descargar video tutorial de pruebas SSL/TLS (Password: www.dragonjar.org)

Una spider sirve para una función principalmente, el Data Mining. Una spider típica (como Google) funciona inspeccionando las páginas de un site web automatizadamente una por una, almacenando la información relevante para crear un registro de páginas, direcciones e-mail metatags, datos de formularios, información sobre las direcciones URL, enlaces, etc.

Después, la spider recorre los enlaces de la página, recolectando información relevante en cada una de las páginas siguientes, y así sucesivamente. Antes de que te des cuenta, la spider ha recorrido miles de enlaces y páginas registrando elementos de información y almacenándolos en una base de datos. De esta red de rutas recorridas se deriva el término ‘araña’, ‘spider’.

Wget:

GNU Wget es una herramienta de Software Libre que permite la descarga de contenidos desde servidores web de una forma simple. Su nombre deriva de World Wide Web (w), y de «obtener» (en inglés get), esto quiere decir: obtener desde WWW. (Más información…)

Actualmente soporta descargas mediante los protocolos HTTP, HTTPS y FTP.

En el siguiente video tutorial se muestra el proceso de Spidering haciendo uso de la herramienta Wget.

Link:

Descargar video tutorial de spidering con Wget (Password: www.dragonjar.org)

Muchas aplicaciones tienen vulnerabilidades y estrategias de ataque conocidas, que pueden ser explotadas para conseguir control remoto o explotación de los datos de la aplicación.

Además, muchas aplicaciones están a menudo mal configuradas o sin actualizar, debido a la impresión de que solo se usan “internamente”, y por tanto no representan ninguna amenaza.

Con la proliferación de servidores web virtuales, la tradicional relación de una dirección IP con un servidor web 1 a 1 ha ido perdiendo su significado original. No es nada raro tener múltiples sites y aplicaciones web cuyos nombres resuelvan a la misma dirección IP (este escenario no se limita a entornos de hosting, también aplica a entornos corporativos).

Nmap:

Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP atribuido a Fyodor. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática. (Más información…)

El siguiente video tutorial muestra el proceso de descubrimiento básico de aplicaciones con Nmap.

Link:

Descargar video tutorial de descubrimiento de aplicaciones con Nmap (Password: www.dragonjar.org)

Actualmente existen multitud de vendedores y de versiones de servidores web en el mercado. Saber el tipo exacto de servidor que estás comprobando ayuda considerablemente en el proceso de testing, y puede cambiar el curso de las pruebas. Esta información puede inferirse mediante el envío de comandos específicos al servidor web y posteriormente analizar su respuesta, ya que cada versión del software de servidor web puede responder de forma diferente a un mismo comando. Sabiendo la respuesta de cada tipo de servidor web ante comandos específicos y almacenando dicha información en una base de datos de firmas web, la persona a cargo de las pruebas de intrusión, puede enviar esos comandos al servidor web, analizar la respuesta y compararla a la base de datos de firmas conocidas.

La forma más básica y sencilla de identificar un servidor Web es comprobar el campo Server en la cabecera de respuesta HTTP.

Encontrar que aplicaciones específicas se encuentran instaladas en un servidor web es un elemento esencial en un test de vulnerabilidades de una aplicación web. Muchas aplicaciones tienen vulnerabilidades y estrategias de ataque conocidas, que pueden ser explotadas para conseguir control remoto o explotación de los datos de la aplicación. Además, muchas aplicaciones están a menudo mal configuradas o sin actualizar, debido a la impresión de que solo se usan “internamente”, y por tanto no representan ninguna amenaza.

Netcat:

Netcat (a menudo referida como la navaja multiusos de los hackers) es una herramienta de red bajo licencia GPL (en la versión de GNU) disponible para sistemas UNIX, Microsoft y Apple que permite a través de intérprete de comandos y con una sintaxis muy sencilla abrir puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos). (Más información…)

Httprint:

Httprint, de Net-Square, es un programa gratuito (no GPL) que utiliza técnicas de fuzzing para dar una estimación de la versión de servidor web que se ejecuta en un puerto. Realiza un cálculo con determinados tests pra crear una huella(fingerprint) del servidor y compararla con una base de datos de los mismos. (Más información…)

Netcraft:

Netcraft es una herramienta online para saber información sobre el host de una determinada pagina. (servidor web, nameserver, registrador, disponibilidad) (Más información…)

Live HTTP headers:

Esta extensión para el navegador Mozilla Firefox tiene una funcionalidad muy concreta: mostrar las cabeceras HT que se cargan al navegar por Internet, y añadir además diversos datos extra interesantes. (Más información…)

El siguiente video tutorial muestra algunos métodos utilizados para determinar la firma digital de aplicaciones web. Caso concreto el tipo y versión del servidor web haciendo uso de Netcat, Httprint, Live HTTP headers y Netcraft.

Link:

Descargar video tutorial de pruebas de firma digital de aplicaciones Web. (Password: www.dragonjar.org)

De esta manera, Labs OWASP pretende llevar a cabo diferentes laboratorios (Hack Labs) sobre los diferentes recursos relacionados con los proyectos desarrollados por OWASP (Open Web Application Security Project – Proyecto de seguridad de aplicaciones Web Abiertas).

OWASP cuenta con un amplio repertorio de proyectos, entre ellos destaco algunos de los que veremos en profundidad en estos laboratorios:

Guía de pruebas OWASP, F.A.Q de seguridad en aplicaciones Web OWASP, WebGoat, OWASP Live CD (LABRAT), OWASP Pantera, OWASP WebScarab, OWASP DirBuster.

El contenido temático de los laboratorios estará basado en el propio contenido de la Guía de pruebas de Seguridad OWASP.

Dejo entonces una corta definición sobre el contenido de esta Guía y la temática de la misma:

El Proyecto de Pruebas OWASP ha estado en desarrollo durante muchos años. Queríamos ayudar a la gente a entender el que, porque, cuando como probar sus aplicaciones web, y no tan solo proveer con un simple listado de comprobación o una prescripción de acciones específicas que deben ser atendidas. Queríamos realizar un marco de desarrollo de pruebas a partir del cual otros pudiesen crear sus propios programas de test, o evaluar los procesos de otros. Escribir el Proyecto de Pruebas ha demostrado ser una tarea difícil. Ha sido todo un reto conseguir un cierto consenso y desarrollar el contenido apropiado, que permitiese a la gente aplicar el contenido y marco de trabajo global aquí descrito y a la vez también les permitiese trabajar dentro de su propio entorno y cultura. También ha sido un reto el cambiar el enfoque de la realización de pruebas sobre aplicaciones web de tests de penetración a las pruebas integradas en el ciclo de desarrollo del software. Muchos expertos en la industria y responsables de la seguridad del software en algunas de las mayores empresas del mundo dan validez al Marco de Pruebas, presentado como Partes 1 y 2 del Marco de Pruebas OWASP. Este marco de trabajo tiene por objetivo, más que simplemente resaltar áreas con carencias, ayudar a las organizaciones a comprobar sus aplicaciones web con el propósito de construir software fiable y seguro, aunque ciertamente lo primero se obtiene gracias a muchas de las guías y listados de comprobación del OWASP. Debido a ello, hemos hecho algunas decisiones difíciles sobre la conveniencia de algunas tecnologías y técnicas de pruebas, que entendemos por completo que no serían aceptadas por todo el mundo. Sin embargo, el proyecto OWASP es capaz de colocarse en un plano superior de autoridad y cambiar la cultura de conocimiento existente, mediante la educación y la concienciación basadas en el consenso y la experiencia, preferentemente a tomar la vía del “mínimo común denominador.”

El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo. El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:

• El alcance de qué se debe probar
• Principios del testing
• Explicación de las técnicas de pruebas
• Explicación del marco de pruebas del OWASP

En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.

El contenido temático es el siguiente:

• El entorno de pruebas OWASP
• Pruebas de intrusión de aplicaciones Web
• Descubrimiento de aplicaciones
• Técnicas de Spidering y googling
• Fuerza bruta
• Saltarse el sistema de autenticación
• HTTP Exploit
• Cross Site Scripting
• Inyección SQL
• Pruebas de Oracle
• Pruebas de MySQL
• Pruebas de SQL Server
• Pruebas de desbordamiento de búfer
• Pruebas de denegación de servicio
• Comprobación de servicios web
• Pruebas de AJAX
• Herramientas de comprobación
• Vectores de fuzzing

El desarrollo de los laboratorios será llevado a cabo en modo video tutorial, posiblemente incluyan algún audio que detalle un poco mas lo que se ve en pantalla.

Prefiero dejar un poco de lado el texto en cada post, pues la idea es que cada video tutorial sea acompañado de la lectura de la Guía Oficial y de los enlaces que publique.

Para terminar, enlazo algunos recursos indispensables para llevar y acompañar las diferentes publicaciones que haga en el Blog.

Descargar Guía de Prubas OWASP (Password: www.dragonjar.org)
Descargar FAQ OWASP (www.dragonjar.org)