Mejora tus habilidades de penetración... ¡web!

fd85b6c7ac4f544e2a9050c0f0aab217_330.jpg

Al final, todas las aplicaciones web tienen la misma base y estructura. Todas están basada en peticiones GET o POST (PUT y DELETE en aplicaciones REST) sobre HTTP/S, procesado en el servidor, renderizado del código HTML devuelto por el servidor en el navegador, ejecución de javascript, manejo de cookies, etc.

Esa es la base de cualquier aplicación web sin importar el lenguaje en el que está escrita y todo auditor de seguridad de aplicaciones web debe conocer y manejar dichos conceptos con soltura.

Además de conocer la base del funcionamiento de una aplicación web, también es muy importante conocer los detalles de las herramientas usadas para la construcción de las mismas, ya que cada lenguaje y framework o librería tiene sus particularidades y la forma en la que responden a distintos tipos de ataques son ligeramente diferente.

Con anterioridad hemos publicado varias entradas con aplicaciones web inseguras para nuestra práctica. La mayoría de ellas escrita en PHP y alguna en Java, usando distintas bases de datos, etc.

En esta ocasión le toca el turno a RailsGoat. Una aplicación web basada en Ruby On Rails, uno de los frameworks más populares para crear aplicaciones web, usando Ruby como lenguaje de programación.

Es un proyecto de OWASP, con el que podemos practicar para mejorar nuestras habilidades de intrusión. Desde su repositorio en Github puedes descargarte la aplicación completa, así como las instrucciones de instalación.

Si estás interesado también en otras tecnologías, en la web de OWASP tienen también una buena colección de más aplicaciones web vulnerables y máquinas virtuales (OWASP Vulnerable Web Applications Directory Projects) listas para ser ejecutadas.