Mejora tus habilidades como Pen-Tester

Actualmente no sólo los profesionales que se dedican a hacer auditorías de seguridad de aplicaciones web o redes son los únicos que deberían de conocer al menos las técnicas básicas de penetración (en sistemas informáticos!! mal pensado!) como SQL Injection o Cross Site Scripting (XSS), sino que también los responsables de un proyecto web, deberían tener un conocimiento mínimo sobre estas técnicas. De forma que puedan aplicar ciertos mecanismos de seguridad a sus aplicaciones para evitar que estas sean vulneradas.

Y que mejor forma de defenderse, que sabiendo como vamos a ser atacados. Formas de ser atacados hay millones y seguro que siempre se nos queda muchas en el tintero, pero como dije, un mínimo de conocimiento es necesario para por lo menos quitarnos del medio a los script kiddies.

Nada mejor para conocer este mundillo, es por supuesto leyendo, pero también poniendo en práctica dichos conocimientos para verdaderamente entender como funciona todo este circo. No recomiendo a nadie “juguetear” con aplicaciones web que no sean propias. Lo que si recomiendo es que además de intentar romper las propias también hagamos pruebas con aplicaciones que podemos encontrar y descargar de forma gratuitas y creadas especialmente para este fin.

Aplicaciones para poner en práctica tus habilidades hay muchas y escritas en diferentes lenguajes. Pero hoy os quiero hablar de Vicnum.

Vicnum es un proyecto de la famosa OWASP, cuyo fin es el de proveer una aplicación con distintas vulnerabilidades a explotar. Está pensada para poner en práctica técnicas de SQL Injection, XSS y manejo de sesiones. Está escrita en Perl y PHP.

Además, también está preparada para ser extendida, de forma que podamos añadir nuestras propias vulnerabilidades de forma intencionada o crear juegos de penetración.

Te puedes descargar este proyecto desde aquí. Y también puedes jugar con ella online.

Tip of the day: si te bajas el proyecto y lo instalas en tu red, asegúrate que dicho sistema no está expuesto a internet. A menos que lo pongas en la DMZ y sepas lo que estás haciendo.

Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces