De entre los muchos ejercicios que nos podemos encontrar en el interesante proyecto de PentesterLab (del que os hablamos en los enlaces de la SECmana 141) creado por Louis Nyffenegger (@snyff), se acaba de publicar un conjunto de ejercicios llamado "Web for Pentester".
Estos ejercicios repasan las vulnerabilidades más comunes que nos podremos encontrar a la hora de analizar y realizar pruebas sobre aplicaciones web. El enfoque de estas prácticas no es sólo el de realizar las pruebas web como tal, si no todo lo relacionado a procesos de test de intrusión, como el reconocimiento de la arquitectura, sistema, servicios, etc.
Estos ejercicios repasan las vulnerabilidades más comunes que nos podremos encontrar a la hora de analizar y realizar pruebas sobre aplicaciones web. El enfoque de estas prácticas no es sólo el de realizar las pruebas web como tal, si no todo lo relacionado a procesos de test de intrusión, como el reconocimiento de la arquitectura, sistema, servicios, etc.
Se proponen varios ejemplos para cada una de las siguientes tipos de vulnerabilidades:
- Pruebas básicas de reconocimiento (fingerprinting)
- Cross-Site Scripting
- Inclusión de ficheros
- Ataques LDAP
- Inyecciones SQL
- Inyección de código
- Subida de ficheros
- Pruebas de ruta transversal
- Inyección de comandos
- Ataques XML
Esta vez no se trata de ejercicios online, si no que el creador del proyecto ha preparado una pequeña imagen .iso, en la cual, bajo el sistema operativo Debian, se ha creado un entorno en el que se incluyen diferentes scripts vulnerables:
 |
| Descarga de imagen .iso con entorno vulnerable |
Con la imagen, en la sección de descargas de estos ejercicios se encuentra un documento en .PDF web_for_pentester.pdf en el que se explican todas y cada una de las pruebas con sus correspondientes ejemplos, aunque obviamente, recomendamos consultar este documento después de, por lo menos, haberle dedicado un buen rato a resolverlos por cuenta propia.
Dicho informe recoge el análisis realizado desde las fases iniciales del test de intrusión (reconocimiento del servicio web, búsqueda de recursos interesantes, puntos de entrada a la aplicación, análisis de respuestas del servidor web, etc), así como conceptos básicos y requeridos para completar las pruebas posteriores.
 |
| Índice del documento PDF que acompaña al ejercicio |
Dicho informe recoge el análisis realizado desde las fases iniciales del test de intrusión (reconocimiento del servicio web, búsqueda de recursos interesantes, puntos de entrada a la aplicación, análisis de respuestas del servidor web, etc), así como conceptos básicos y requeridos para completar las pruebas posteriores.
 |
| Documentación de Web For Pentesters, incluyendo ejemplos y how-to's |
 |
| Ejemplo 1 de Cross-Site Scripting |
 |
| Ejemplo 1 de File Inclusion |
Si bien el nivel de dificultad se ha determinado como para principiantes, es un buen repaso, además de completo, para cualquier interesado en este campo de la seguridad informática sobre aplicaciones web.
[+] Proyecto Web For Pentester - Pentesterlab.com
[+] Proyecto Web For Pentester - Pentesterlab.com
5 comments :
Gracias! Parece interesante le echaré un vistazo :)
Gracias por el buen artículo (y gracias Google traducir ...). Asegúrese de revisar los otros ejercicios, así;)
Thanks for visiting us! and for your great work with this project
La imagen para la máquina virtual no trae entorno gráfico. Simplemente actua como servidor web. Si usas virtualbox, configura la red para que sea de tipo bridge y introduce la dirección ip de la máquina virtual en el navegador de tu equipo físico. Un saludo.
Los he bajado todos y esta muy buena la colaboracion, excelente...
Publicar un comentario