Por ejemplo, en una de las lecciones el usuario debe usar SQL injection para robar números de tarjeta de crédito ficticios. La aplicacion es un ambiente realista de enseñanza, que provee a los usuarios con pistas y código para explicar mejor la lección. (Más información >>)

En el siguiente video tutorial veremos como llevar a cabo el proceso de instalación y ejecución de WebGoat en sistemas Linux.

Link:

Descargar video tutorial de instalación y ejecución de WebGoat en Linux (Password: www.dragonjar.org)

WebGoat es una aplicación web J2EE deliveradamente insegura, mantenida por OWASP y diseñada para enseñar lecciones de seguridad en aplicaciones Web. En cada lección, los usuarios deben demostrar su entendimiento de los problemas de seguridad al explotar la vulnerabilidad real en al aplicación WebGoat. Por ejemplo, en una de las lecciones el usuario debe usar SQL injection para robar números de tarjeta de crédito ficticios. La aplicacion es un ambiente realista de enseñanza, que provee a los usuarios con pistas y código para explicar mejor la lección.

WebGoat esta escrito en Java y por lo tanto se instala en cualquier plataforma con una máquina virtual de Java. Hay programas de instalación para Linux, OS X Tiger y Windows. Una vez instalado, el usuario puede revisar las lecciones y rastrear su progreso con el tablero electrónico. Actualmente hay mas de 30 lecciones, incluyendo las que lidian con los siguientes problemas:

• Secuencia de Comandos en Sitios Cruzados (Cross Site Scripting)
• Control de acceso
• Seguridad de Hilos
• Manipulación de campos ocultos
• Manipulación de parámetros
• Testing de sesiones inseguras
• Inyección SQL
• Inyección de SQL con números
• Inyección de SQL con cadenas de caracteres
• Servicios Web
• Autentificación fallida
• Los peligros de los comentarios HTML

Más información y descarga de WebGoat >>

En el siguiente video tutorial veremos el proceso necesario para llevar a cabo la instalación y ejecución del entorno de pruebas de seguridad en aplicativos Web: WebGoat en entornos Windows.

Link:

Descargar video tutorial de instalación y ejecución de WebGoat en Windows (Password: www.dragonjar.org)

Sin embargo, las herramientas de esta naturaleza a menudo son solo tan buenas como la lista de archivos y directorios con los que vienen. Un enfoque diferente fue usado para generar este proyecto. La lista fue generada desde cero, rastreando en Internet y colectando los directorios y archivos que son realmente usados por los desarrolladores, esto hace a DirBuster extremadamente efectivo encontrando esos archivos y directorios ocultos. Y como si esto no fuera suficiente, DirBuster también tiene la opción de realizar fuerza bruta, lo que no les deja lugar para esconderse a los archivos y directorios ocultos.

Características:
DirBuster tiene las siguientes características:

- Multi hilo (6000 peticiones/segundo)
- Funciona con http y https
- Busca directorios y archivos
- Búsqueda recursiva sobre los directorios que encuentra
- Escaneo basado en listas o fuerza bruta
- DirBuster puede ser iniciado en cualquier directorio
- Pueden ser agregadas cabeceras HTTP personalizadas
- Soporte para proxy
- Cambio automático entre peticiones HEAD y GET
- Modo analizador de contenidos cuando los intentos fallidos regresan como 200
- Puedes ser usadas extensiones de archivos personalizadas
- El desempeño puede ser ajustado mientras el programa está en ejecución

Más información y descarga del proyecto OWASP DirBuster >>

En el siguiente video tutorial se muestra el procedimiento necesario para llevara cabo un test de archivos y directorios “ocultos” en el servidor Web. Este proceso es realizado haciendo uso de la herramienta OWASP Dirbuster.

Link:

Descargar video tutorial de test de archivos y directorios en el servidor Web con OWASP DirBuster. (Password: www.dragonjar.org)

Actualmente existen multitud de vendedores y de versiones de servidores web en el mercado. Saber el tipo exacto de servidor que estás comprobando ayuda considerablemente en el proceso de testing, y puede cambiar el curso de las pruebas. Esta información puede inferirse mediante el envío de comandos específicos al servidor web y posteriormente analizar su respuesta, ya que cada versión del software de servidor web puede responder de forma diferente a un mismo comando. Sabiendo la respuesta de cada tipo de servidor web ante comandos específicos y almacenando dicha información en una base de datos de firmas web, la persona a cargo de las pruebas de intrusión, puede enviar esos comandos al servidor web, analizar la respuesta y compararla a la base de datos de firmas conocidas.

La forma más básica y sencilla de identificar un servidor Web es comprobar el campo Server en la cabecera de respuesta HTTP.

Encontrar que aplicaciones específicas se encuentran instaladas en un servidor web es un elemento esencial en un test de vulnerabilidades de una aplicación web. Muchas aplicaciones tienen vulnerabilidades y estrategias de ataque conocidas, que pueden ser explotadas para conseguir control remoto o explotación de los datos de la aplicación. Además, muchas aplicaciones están a menudo mal configuradas o sin actualizar, debido a la impresión de que solo se usan “internamente”, y por tanto no representan ninguna amenaza.

Netcat:

Netcat (a menudo referida como la navaja multiusos de los hackers) es una herramienta de red bajo licencia GPL (en la versión de GNU) disponible para sistemas UNIX, Microsoft y Apple que permite a través de intérprete de comandos y con una sintaxis muy sencilla abrir puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos). (Más información…)

Httprint:

Httprint, de Net-Square, es un programa gratuito (no GPL) que utiliza técnicas de fuzzing para dar una estimación de la versión de servidor web que se ejecuta en un puerto. Realiza un cálculo con determinados tests pra crear una huella(fingerprint) del servidor y compararla con una base de datos de los mismos. (Más información…)

Netcraft:

Netcraft es una herramienta online para saber información sobre el host de una determinada pagina. (servidor web, nameserver, registrador, disponibilidad) (Más información…)

Live HTTP headers:

Esta extensión para el navegador Mozilla Firefox tiene una funcionalidad muy concreta: mostrar las cabeceras HT que se cargan al navegar por Internet, y añadir además diversos datos extra interesantes. (Más información…)

El siguiente video tutorial muestra algunos métodos utilizados para determinar la firma digital de aplicaciones web. Caso concreto el tipo y versión del servidor web haciendo uso de Netcat, Httprint, Live HTTP headers y Netcraft.

Link:

Descargar video tutorial de pruebas de firma digital de aplicaciones Web. (Password: www.dragonjar.org)

De esta manera, Labs OWASP pretende llevar a cabo diferentes laboratorios (Hack Labs) sobre los diferentes recursos relacionados con los proyectos desarrollados por OWASP (Open Web Application Security Project – Proyecto de seguridad de aplicaciones Web Abiertas).

OWASP cuenta con un amplio repertorio de proyectos, entre ellos destaco algunos de los que veremos en profundidad en estos laboratorios:

Guía de pruebas OWASP, F.A.Q de seguridad en aplicaciones Web OWASP, WebGoat, OWASP Live CD (LABRAT), OWASP Pantera, OWASP WebScarab, OWASP DirBuster.

El contenido temático de los laboratorios estará basado en el propio contenido de la Guía de pruebas de Seguridad OWASP.

Dejo entonces una corta definición sobre el contenido de esta Guía y la temática de la misma:

El Proyecto de Pruebas OWASP ha estado en desarrollo durante muchos años. Queríamos ayudar a la gente a entender el que, porque, cuando como probar sus aplicaciones web, y no tan solo proveer con un simple listado de comprobación o una prescripción de acciones específicas que deben ser atendidas. Queríamos realizar un marco de desarrollo de pruebas a partir del cual otros pudiesen crear sus propios programas de test, o evaluar los procesos de otros. Escribir el Proyecto de Pruebas ha demostrado ser una tarea difícil. Ha sido todo un reto conseguir un cierto consenso y desarrollar el contenido apropiado, que permitiese a la gente aplicar el contenido y marco de trabajo global aquí descrito y a la vez también les permitiese trabajar dentro de su propio entorno y cultura. También ha sido un reto el cambiar el enfoque de la realización de pruebas sobre aplicaciones web de tests de penetración a las pruebas integradas en el ciclo de desarrollo del software. Muchos expertos en la industria y responsables de la seguridad del software en algunas de las mayores empresas del mundo dan validez al Marco de Pruebas, presentado como Partes 1 y 2 del Marco de Pruebas OWASP. Este marco de trabajo tiene por objetivo, más que simplemente resaltar áreas con carencias, ayudar a las organizaciones a comprobar sus aplicaciones web con el propósito de construir software fiable y seguro, aunque ciertamente lo primero se obtiene gracias a muchas de las guías y listados de comprobación del OWASP. Debido a ello, hemos hecho algunas decisiones difíciles sobre la conveniencia de algunas tecnologías y técnicas de pruebas, que entendemos por completo que no serían aceptadas por todo el mundo. Sin embargo, el proyecto OWASP es capaz de colocarse en un plano superior de autoridad y cambiar la cultura de conocimiento existente, mediante la educación y la concienciación basadas en el consenso y la experiencia, preferentemente a tomar la vía del “mínimo común denominador.”

El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo. El software inseguro tiene de por si sus consecuencias, pero las aplicaciones web inseguras, expuestas a millones de usuarios a través de Internet, representan una inquietud creciente. Incluso a día de hoy, la confianza de los clientes que usan la Web para realizar sus compras o cubrir sus necesidades de información está decreciendo, a medida que más y más aplicaciones web se ven expuestas a ataques. Esta introducción contempla los procesos involucrados en el testing de aplicaciones web:

• El alcance de qué se debe probar
• Principios del testing
• Explicación de las técnicas de pruebas
• Explicación del marco de pruebas del OWASP

En la segunda parte de esta guía se cubre como comprobar cada fase del ciclo de vida del desarrollo del software, utilizando las técnicas descritas en este documento. Por ejemplo, la segunda parte cubre como realizar pruebas de vulnerabilidades específicas, como inyección SQL mediante inspección de código fuente y pruebas de intrusión.

El contenido temático es el siguiente:

• El entorno de pruebas OWASP
• Pruebas de intrusión de aplicaciones Web
• Descubrimiento de aplicaciones
• Técnicas de Spidering y googling
• Fuerza bruta
• Saltarse el sistema de autenticación
• HTTP Exploit
• Cross Site Scripting
• Inyección SQL
• Pruebas de Oracle
• Pruebas de MySQL
• Pruebas de SQL Server
• Pruebas de desbordamiento de búfer
• Pruebas de denegación de servicio
• Comprobación de servicios web
• Pruebas de AJAX
• Herramientas de comprobación
• Vectores de fuzzing

El desarrollo de los laboratorios será llevado a cabo en modo video tutorial, posiblemente incluyan algún audio que detalle un poco mas lo que se ve en pantalla.

Prefiero dejar un poco de lado el texto en cada post, pues la idea es que cada video tutorial sea acompañado de la lectura de la Guía Oficial y de los enlaces que publique.

Para terminar, enlazo algunos recursos indispensables para llevar y acompañar las diferentes publicaciones que haga en el Blog.

Descargar Guía de Prubas OWASP (Password: www.dragonjar.org)
Descargar FAQ OWASP (www.dragonjar.org)