Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Curso basicoseguridadweb slideshare9

718 views

Published on

Curso b

Published in: Technology
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Curso basicoseguridadweb slideshare9

  1. 1. SEGURIDAD Y APLICACIONES WEB Licencia Creative Commons Esta obra esta distribuida bajo una licencia de: <ul><li>Reconocimiento (Attribution): En cualquier explotación de la obra autorizada por la licencia hará falta reconocer la autoría.
  2. 2. No Comercial (Non commercial): La explotación de la obra queda limitada a usos no comerciales.
  3. 3. Compartir Igual (Share alike): La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la misma licencia al ser divulgadas. </li></ul>
  4. 4. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Práctica WebPentesting:ZAP
  5. 5. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP <ul>En esta práctica veremos como se realiza parte de un web pentesting con una aplicación diseñada para automatizar cierta parte de la tarea. <li>Para ello usaremos la máquina virtual Web Security Dojo
  6. 6. Como aplicación web vulnerable: Webgoat
  7. 7. Como aplicación de pentesting: ZAP </li></ul>
  8. 8. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP <ul><li>Una vez arrancada la máquina virtual procedemos a arrancar webGoat </li></ul>
  9. 9. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  10. 10. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  11. 11. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  12. 12. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP <ul><li>Ahora arrancaremos OWASP ZAP </li></ul>
  13. 13. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  14. 14. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP <ul><li>ZAP funciona como un proxy por lo que debemos configurar Firefox para que apunte a ZAP </li></ul>
  15. 15. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  16. 16. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  17. 17. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  18. 18. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Una vez configurado firefox para usar como proxy zap refrescaremos la pantalla para que dicha petición pase ya por ZAP quedando registrada
  19. 19. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  20. 20. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Una vez que hemos comprobado que todo funciona habrá que navegador por la aplicación para que vayan quedando registradas diversas url's de la aplicación que ZAP posteriormente usará tanto para atacar como para ser usadas como base del descubrimiento del site
  21. 21. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  22. 22. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  23. 23. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  24. 24. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  25. 25. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Realizamos el descubrimiento de las urls de la aplicación: <ul><li>Pasamos a ZAP y vemos que las urls han sido grabadas
  26. 26. Activamos el Spider, esta funcionalidad se encarga de seguir todos los enlaces que encuentra en las páginas grabadas para ser utilizados posteriormente durante la fase de ataque </li></ul>
  27. 27. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  28. 28. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  29. 29. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP <ul><li>Pasamos a lanzar el descubrimiento de vulnerabilidades en la aplicación web </li></ul>
  30. 30. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  31. 31. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  32. 32. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  33. 33. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP <ul><li>Tras pinchar en Alerts veremos las vulnerabilidades que ha encontrado ZAP
  34. 34. Nos ordena las vulnerabilidades en función de las url's, al pinchar en ellas nos añade información sobre la vulnerabilidad encontrada y su posible solución. </li></ul>
  35. 35. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  36. 36. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP
  37. 37. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP Como hemos visto este tipo de herramientas nos pueden ayudar durante el proceso de webPenTesting automatizando ciertas tareas. Con el uso de esta herramienta hemos realizado: <ul><li>Parte del descubrimiento de urls de la aplicación.
  38. 38. Ha detectado posibles sql injections y xss
  39. 39. Ha detectado una mala configuración en las cookies </li></ul>
  40. 40. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: ZAP No obstante este tipo de herramientas no sustituyen la prueba manual, son simplemente una ayuda más durante el proceso de testing. Una vez lanzada esta aplicación habrá que pasar a revisar las vulnerabilidades reportadas para confirmar si su explotación es posible. Esto lo haremos de forma manual documentando el proceso de explotación realizado

×