Archivos de Etiquetas: Seguridad Web

WebGoat, Plataforma de Pruebas de Seguridad Web – Instalación y ejecución en Linux

WebGoat es una aplicación web J2EE deliveradamente insegura, mantenida por OWASP y diseñada para enseñar lecciones de seguridad en aplicaciones Web. En cada lección, los usuarios deben demostrar su entendimiento de los problemas de seguridad al explotar la vulnerabilidad real en al aplicación WebGoat.

Leer más…

WebGoat, Plataforma de Pruebas de Seguridad Web – Instalación y ejecución en Windows

Antes de comenzar con este espectacular recurso se hace necesario hacer una pequeña descripción sobre la plataforma WebGoat, su contenido, sus requerimientos, pero principalmente sus objetivos. Veamos:

Leer más…

Labs OWASP: Fuerza bruta a directorios y archivos en el servidor Web con OWASP DirBuster

DirBuster es una aplicación Java multi hilo diseñada para obtener por fuerza bruta los nombres de directorios y archivos en servidores Web. A menudo ocurre que lo que ahora parece un servidor Web en una fase de instalación por defecto, no lo es, y tiene páginas y aplicaciones ocultas. DirBuster trata de encontrar estos archivos y directorios.

Sin embargo, las herramientas de esta naturaleza a menudo son solo tan buenas como la lista de archivos y directorios con los que vienen. Un enfoque diferente fue usado para generar este proyecto. La lista fue generada desde cero, rastreando en Internet y colectando los directorios y archivos que son realmente usados por los desarrolladores, esto hace a DirBuster extremadamente efectivo encontrando esos archivos y directorios ocultos. Y como si esto no fuera suficiente, DirBuster también tiene la opción de realizar fuerza bruta, lo que no les deja lugar para esconderse a los archivos y directorios ocultos.

Leer más…

Labs OWASP: Pruebas de firma digital de aplicaciones Web, netcat, Httprint, Live HTTP headers y Test Online

La obtención de la firma digital de un servidor web es una tarea esencial para la persona que realiza una prueba de intrusión. Saber el tipo y versión del servidor en ejecución le permite determinar vulnerabilidades conocidas, y los exploits apropiados a usar durante la prueba.

Actualmente existen multitud de vendedores y de versiones de servidores web en el mercado. Saber el tipo exacto de servidor que estás comprobando ayuda considerablemente en el proceso de testing, y puede cambiar el curso de las pruebas. Esta información puede inferirse mediante el envío de comandos específicos al servidor web y posteriormente analizar su respuesta, ya que cada versión del software de servidor web puede responder de forma diferente a un mismo comando. Sabiendo la respuesta de cada tipo de servidor web ante comandos específicos y almacenando dicha información en una base de datos de firmas web, la persona a cargo de las pruebas de intrusión, puede enviar esos comandos al servidor web, analizar la respuesta y compararla a la base de datos de firmas conocidas.

Leer más…

Labs OWASP, Introducción y contenido

Labs OWASP nace como una nueva propuesta de laboratorios virtuales y presenciales de Labs.DragonJAR.org.

De esta manera, Labs OWASP pretende llevar a cabo diferentes laboratorios (Hack Labs) sobre los diferentes recursos relacionados con los proyectos desarrollados por OWASP (Open Web Application Security Project – Proyecto de seguridad de aplicaciones Web Abiertas).

OWASP cuenta con un amplio repertorio de proyectos, entre ellos destaco algunos de los que veremos en profundidad en estos laboratorios:

Guía de pruebas OWASP, F.A.Q de seguridad en aplicaciones Web OWASP, WebGoat, OWASP Live CD (LABRAT), OWASP Pantera, OWASP WebScarab, OWASP DirBuster.

El contenido temático de los laboratorios estará basado en el propio contenido de la Guía de pruebas de Seguridad OWASP.

Leer más…