Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 49 vistas

    06 - Auditoria y Seguridad

    Cargado por

    Nathaly Amaya
    Este documento presenta una guía de laboratorio sobre auditoría y seguridad de aplicaciones web. Explica los objetivos de conocer debilidades de configuración y amenazas para mejorar la seguridad. Describe las herramientas y métodos para escanear aplicaciones web en Kali Linux, incluyendo la detección de puertos abiertos, uso de Tor y escaneo de vulnerabilidades. Finalmente, detalla las etapas de una prueba de penetración como reconocimiento, escaneo, explotación y mantenimiento del acceso.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    06 - Auditoria y Seguridad

    Cargado por

    Nathaly Amaya
    49 vistas4 páginas
    Este documento presenta una guía de laboratorio sobre auditoría y seguridad de aplicaciones web. Explica los objetivos de conocer debilidades de configuración y amenazas para mejorar la seguridad. Describe las herramientas y métodos para escanear aplicaciones web en Kali Linux, incluyendo la detección de puertos abiertos, uso de Tor y escaneo de vulnerabilidades. Finalmente, detalla las etapas de una prueba de penetración como reconocimiento, escaneo, explotación y mantenimiento del acceso.

    Título original

    06 - Auditoria y seguridad

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta una guía de laboratorio sobre auditoría y seguridad de aplicaciones web. Explica los objetivos de conocer debilidades de configuración y amenazas para mejorar la seguridad. Describe las herramientas y métodos para escanear aplicaciones web en Kali Linux, incluyendo la detección de puertos abiertos, uso de Tor y escaneo de vulnerabilidades. Finalmente, detalla las etapas de una prueba de penetración como reconocimiento, escaneo, explotación y mantenimiento del acceso.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    49 vistas4 páginas

    06 - Auditoria y Seguridad

    Cargado por

    Nathaly Amaya
    Este documento presenta una guía de laboratorio sobre auditoría y seguridad de aplicaciones web. Explica los objetivos de conocer debilidades de configuración y amenazas para mejorar la seguridad. Describe las herramientas y métodos para escanear aplicaciones web en Kali Linux, incluyendo la detección de puertos abiertos, uso de Tor y escaneo de vulnerabilidades. Finalmente, detalla las etapas de una prueba de penetración como reconocimiento, escaneo, explotación y mantenimiento del acceso.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 4

    UNIVERSIDAD DE EL SALVADOR 

    FACULTAD DE INGENIERÍA Y ARQUITECTURA 


    ESCUELA DE INGENIERÍA DE SISTEMAS INFORMÁTICOS 
    Comercio Electrónico  
    CET 115 – ciclo II / 2020 

    Guía de laboratorio 6. 


    Auditoría y seguridad 
     

    Objetivos:
    1. Conocer debilidades en las configuraciones. 
    2. Explotar debilidades para mejorar 
    3. Reconocer amenazas 
     

    Introducción
    Una  aplicación  web  utiliza  el  protocolo  HTTP  para  la  comunicación  cliente-servidor  y 
    requiere  un  navegador  web  como  interfaz  del  cliente.  Es  probablemente  el  tipo  de 
    aplicación  más  común  en  las  empresas  modernas,  desde  las  encuestas  de  clima 
    organizacional  de  Recursos  Humanos  hasta  los  servicios  técnicos  de  TI  para  el  sitio  web 
    de  una  compañía.  Incluso  las aplicaciones más robustas, móviles y muchos dispositivos de 
    Internet  de  las  cosas  (IoT)  hacen uso de componentes web a través de servicios web y las 
    interfaces web que están integradas en ellos. 
     
    No  hace  mucho  tiempo,  se pensaba que la seguridad era necesaria solo en el perímetro de 
    la  organización  y  solo  a  nivel  de  red,  por  lo  que  las  empresas  gastan  una  cantidad 
    considerable  de  dinero  en  seguridad  física  y  de  red.  Con  eso,  sin  embargo,  surgió  una 
    sensación  de  seguridad  algo  falsa  debido  a  su  dependencia  de  las  tecnologías  web  tanto 
    dentro  como  fuera  de  la  organización.  En  los  últimos  años  y  meses,  hemos  visto  noticias 
    de  filtraciones  de  datos  espectaculares  y  violaciones  de  millones  de  registros,  incluida 
    información  como  números  de  tarjetas  de  crédito,  historiales  médicos,  domicilios 
    particulares  y  Números  de  Seguridad  Social  de  personas  de  todo  el  mundo.  Muchos  de 
    estos ataques se iniciaron explotando una vulnerabilidad web o un error de diseño. 
     
    Las  organizaciones  modernas  reconocen  que  dependen  de  las  aplicaciones  web  y  las 
    tecnologías  web,  y  que  son  tan  propensas  a  ataques  a  su  red  y sistemas operativos, si no 
    más.  Esto  ha  resultado en un aumento en el número de empresas que brindan servicios de 
    protección  o  defensa  contra  ataques  web,  así  como  la  aparición  o  el  crecimiento  de 
    tecnologías como el firewall de aplicaciones web (WAF), la autoprotección de aplicaciones 
    en  tiempo  de  ejecución  (RASP),  la  vulnerabilidad  web  escáneres  y  escáneres  de  código 
    fuente.  Además,  ha  habido  un  aumento  en  el  número  de  organizaciones  que  consideran 
    valioso  probar  la  seguridad de sus aplicaciones antes de entregarlas a los usuarios finales, 
    brindando  una  oportunidad  para  que  hackers  talentosos  y  profesionales  de  la  seguridad 
    utilicen  sus  habilidades  para  encontrar  fallas  y  brindar  asesoramiento  sobre  cómo 
    solucionarlos,  lo  que  ayuda  a  las  empresas,  hospitales,  escuelas  y  gobiernos  a  tener 
    aplicaciones más seguras y prácticas de desarrollo de software cada vez más mejoradas. 
     
    Las  pruebas  de  penetración  y  el  hacking  ético  son  formas  proactivas  de  probar 
    aplicaciones  web  al  realizar  ataques  que  son  similares  a  un  ataque  real  que podría ocurrir 
    en  un  día  determinado.  Se  ejecutan  de  forma  controlada  con  el  objetivo  de  encontrar  la 
    mayor  cantidad  posible  de  defectos  de  seguridad  y proporcionar comentarios sobre cómo 
    mitigar los riesgos que plantean dichos defectos. 
     
    Es  muy  beneficioso  para  las  empresas  realizar  pruebas  de  seguridad  en  las  aplicaciones 
    antes  de  liberarlas  a  los  usuarios  finales.  De  hecho,  hay  corporaciones  conscientes  de  la 
    seguridad  que  han  integrado  casi  por  completo  las  pruebas  de  penetración,  las 
    evaluaciones  de  vulnerabilidad  y  las  revisiones  de  los  códigos  fuente  en  su  ciclo  de 
    desarrollo  de  software.  Por  lo  tanto,  cuando  lanzan  una  nueva  aplicación,  ya  ha  pasado 
    por varias etapas de prueba y remediación. 
     
     
    Reglas (Rules of Engagement “RoE”) 
    Documento que trata sobre la forma en que se llevará a cabo la prueba de penetración, 
    contiene directivas claras sobre las cuales se realizará el análisis, entre ellas están: 
    1. El tipo y alcance de las pruebas (cajas negra, blanca o gris) 
    2. Datos de contacto del cliente (importantes contactos administrativos, técnicos y de 
    emergencia) 
    3. Notificaciones del equipo de TI del cliente 
    4. Manejo de datos sensibles 
    5. Reunión de estado e informes 
     
     
    En Kali Linux, las herramientas en el análisis de aplicaciones web se dividen en cuatro 
    categorías, como se detalla a continuación: 
    1. CMS y la identificación del marco 
    2. Proxy de aplicaciones web 
    3. Web Crawlers y Directorio Bruteforce 
    4. Escáneres de vulnerabilidad web 
     
    Ejemplo 1 - Detección de puertos 
    Para detectar los puertos abiertos en el servidor usaremos el comando nmap 
    nmap -A DOMINIO 
     
    Usando Tor para pruebas de penetración 
    A veces, las pruebas de penetración web pueden incluir pasar por alto ciertas 
    protecciones, filtrado o bloqueo desde el lado del servidor, o evitar ser detectado o 
    identificado con el fin de probar de una manera similar a un hacker malicioso del mundo 
    real. El Onion Router (Tor) proporciona una opción interesante para emular los pasos que 
    un pirata informático usa para proteger su identidad y ubicación. Aunque un hacker ético 
    que intenta mejorar la seguridad de una aplicación web no debería preocuparse por 
    ocultar su ubicación, el uso de Tor le ofrece la opción adicional de probar los sistemas de 
    seguridad de borde tales como firewalls de red, firewalls de aplicaciones web y 
    dispositivos IPS. 
     
     
    Ejercicio 1 - Mezcle nmap a través de la red tor

     
    OWASP - Aplicaciones web rotas 
    El  Proyecto de aplicaciones web rotas (BWA) de OWASP es una colección de aplicaciones 
    web  vulnerables,  que  se  distribuyen  como  una  máquina  virtual  con  el  propósito  de 
    proporcionar  a  los  estudiantes,  entusiastas  de  seguridad  y  profesionales  de  pruebas  de 
    penetración  una  plataforma  para  aprender  y  desarrollar  habilidades  de  prueba  de 
    aplicaciones  web.  probar  herramientas  automatizadas  y  probar  los  firewalls  de 
    aplicaciones web (WAF) y otras medidas defensivas: 

    Las siguientes son las diferentes etapas de una prueba de penetración

    1. Reconocimiento​: esto implica investigar información públicamente disponible y 


    conocer las tecnologías subyacentes del objetivo y las relaciones entre los 
    componentes y descubrir los sub dominios dependientes 
    destino = Dominio / IP 
    a. whois destino 
    b. dig axfr destino 
    c. host destino 
    d. traceroute destino 
    e. dnsenum destino 
    f. fierce -dns destino 
    g. dnsrecon -a -w -g -d destino 
    h. nmap --script dns-brute destino 
    2. Escaneo​: esto implica encontrar posibles aperturas o vulnerabilidades en el 
    objetivo mediante pruebas manuales o escaneos automatizados 
    a. nmap -A destino 
    b. nmap -sT destino 
    c. nmap -sP RANGO 
    d. whatweb destino 
    3. Explotación​: implica explotar vulnerabilidades, comprometer el objetivo y obtener 
    acceso 
    4. Mantener  el  acceso  (post-explotación)​:  configurar  los  medios  para  escalar 
    privilegios  en  los  activos  explotados  o  acceder  de  maneras  alternativas;  instalar 
    puertas traseras, explotar vulnerabilidades locales, crear usuarios y otros métodos 
    Pistas  de  cobertura:  esto implica eliminar la evidencia del ataque; por lo general, las 
    pruebas  de  penetración  profesional  no  involucran  esta  última  etapa,  ya  que  la 
    reconstrucción  del  camino  seguido por el probador proporciona información valiosa 
    a los equipos defensivos y ayuda a aumentar el nivel de seguridad de los objetivos 
     
    Test 
    1. WPScan --url destino 
    2. CMSmap 
     
    Acciones posteriores al escaneo 
     
    Lamentablemente,  es  más  común  de  lo  que  debería  ser  que  las  compañías  que  ofrecen 
    servicios  de  pruebas  de  penetración  terminen  haciendo  solo  un  escaneo de vulnerabilidad 
    y  personalizando  y  adaptando  sus  informes  sin  una  fase  de  prueba  manual,  y  sin  validar 
    que las supuestas vulnerabilidades encontradas por el escáner son vulnerabilidades reales. 
    .  Esto  no  solo  proporciona  ningún  valor  a  los  clientes,  quienes  por  sí  solos  podrían 
    descargar  un  escáner  de  vulnerabilidad  y  ejecutarlo  contra  sus  aplicaciones, pero también 
    daña  la  percepción  que  las  empresas  tienen  sobre  los  servicios  de  seguridad  y  las 
    compañías  de  seguridad,  lo  que  dificulta  a  quienes  proporcionar  servicios  de  calidad  para 
    posicionar esos servicios en el mercado a precios competitivos. 
    Después  de  que  un  escáner  genera  el  informe  de  exploración,  no  puede  simplemente 
    tomar  ese  informe  y  decir  que  encontró  vulnerabilidades  X  e  Y.  Como  los  escáneres 
    siempre  producen  falsos  positivos  (es  decir,  informan  vulnerabilidades  que  no  existen)  y 
    falsos  negativos  (como  vulnerabilidades  que el escáner omite), es obligatorio que también 
    realice  una  prueba  manual  para  que  pueda  encontrar  e  informar  vulnerabilidades  que  no 
    fueron  cubiertos  por  herramientas  automatizadas,  como  problemas  de  autorización  o 
    desvíos  o  abusos  de  la  lógica de negocios, entre otros, para que pueda verificar que todos 
    los hallazgos informados por el escáner sean vulnerabilidades reales. 
     
    Actividades a realizar para completar el laboratorio 
    El estudiante debe: 
    ● seleccionar un dominio de los que están listados en 
    https://www.transparencia.gob.sv/categories/2 
    ● utilice la version live completa de kalilinux disponible en: 
    https://www.kali.org/downloads 
    ● realizar las pruebas de penetración desde la 1 hasta la 4 
    ● si uno de los sitios web a analizar está construido con wordpress usar el comando 
    WPScan. 
    ● elaborar un informe, el cual debe contener: 
    ○ Resumen ejecutivo 
    ○ Resumen de resultados 
    ○ Descripción de las pruebas 
    ○ Descripción de la plataforma remota analizada 
    ○ Vulnerabilidades detectadas 
    ○ Conclusiones 
    ○ Plan de mitigación 
    ○ Fuentes de verificación 

    También podría gustarte