APLICACION WEB

Aplicación Web Extremadamente Vulnerable



Xtreme Vulnerable Web Application es una aplicación web con muchos fallos de seguridad implementados de forma intencionada.

Ésta es otra más de las muchas que ya existen. Está escrita en PHP y contiene fallos de seguridad de los siguientes tipos:

• SQL Injection – Error Based
• SQL Injection – Blind
• OS Command Injection
• XPATH Injection
• Unrestricted File Upload
• Reflected Cross Site Scripting
• Stored Cross Site Scripting
• DOM Based Cross Site Scripting
• Server Side Request Forgery (Cross Site Port Attacks)
• File Inclusion
• Session Issues
• Insecure Direct Object Reference
• Missing Functional Level Access Control
• Cross Site Request Forgery (CSRF)
• Cryptography
• Unvalidated Redirect & Forwards
• Server Side Template Injection

Para ejecutar la aplicación necesitas un sistema con Apache, PHP y MySQL. Idealmente deberías instalarla en una máquina virtual, pero como las VMs son cosa del pasado y cómo ya sabéis todos, hemos llegado al futuro ;), he creado una imagen Docker con todo lo necesario para que puedas jugar con ella.

Suponiendo que tienes Docker instalado en tu máquina, todo lo que tienes que hacer es ejecutar:

Web for pentester II, curso sobre penetración en aplicaciones web



Los chicos de PentesterLab.com han vuelto con un nuevo curso sobre penetración en aplicaciones web: Web for pentester II. En éste tocan la base de datos MongoDB, una de esas bases de datos denominadas NoSQL y que están tan de moda actualmente. También tratan con problemas de autenticación, más inyección de SQL, Captchas, autorización, aleatoriedad y asignaciones masivas.

Como de costumbre, el curso está basado en una máquina virtual (32 o 64 bits - mirror a la iso de 64 bits) y un PDF que sirve de guía.

Colección de máquinas virtuales y aplicaciones web vulnerables



Vulnhub es otro sitio web que se dedica a recopilar máquinas virtuales y aplicaciones web con fallos de seguridad. Cada VM o aplicación tiene su texto explicándote lo que puedes esperar y cual es tu objetivo. Es otro recurso ideal para practicar tus habilidades de penetración/explotación de software.

Además puedes encontrar un apartado con información sobre como montar tu propio laboratorio de pruebas, con una seria de herramientas recomendadas y enfocado a distintos tipos de tareas como: explotación, ingeniería inversa, análisis forense (todavía no disponible), etc.

Evaluación de seguridad en aplicaciones web



El consorcio de seguridad de aplicaciones web (Web Application Security Consortium) acaba hacer público, la primera versión del poyecto titulado: Web Application Security Scanner Evaluation Criteria (Criterio de evaluación de escaners de seguridad de aplicaciones web). Este documento ha sido elaborado gracias a la experiencia aportado por un gran número de voluntarios. El objetivo de este proyecto, es proveer una guía a seguir a la hora de evaluar una aplicación web desde el punto de vista de la seguridad.

DVWA



DVWA o Damn Vulnerable Web Application es una aplicación web con ciertas vulnerabilidades creadas a propósito. Es una aplicación ideal para enseñar técnicas de penetración o incluso para nuestra práctica personal. Entre otras, estas son algunas de las vulnerabilidades que puedes encontrar:

SQL Injection XSS (Cross Site Scripting) LFI (Local File Inclusion) RFI (Remote File Inclusion) Command Execution Upload Script Login Brute Force

Muy importante, no instales esta aplicación en tu hosting o algún otro host público a menos que sepas lo que estás haciendo.