Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 60 vistas

    OWASP Top 10 TryHackMe

    Cargado por

    Luis Mario Martínez
    Este documento resume 10 retos basados en las 10 vulnerabilidades más comunes documentadas por OWASP. Los retos cubrieron vulnerabilidades como inyección, autenticación rota, exposición de datos sensibles, entidades externas XML, control de acceso roto, configuración insegura, scripting entre sitios, deserialización insegura, componentes con vulnerabilidades conocidas y registro y monitoreo insuficientes. Cada reto explicó una vulnerabilidad y cómo podría explotarse para completar el desafío.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    OWASP Top 10 TryHackMe

    Cargado por

    Luis Mario Martínez
    60 vistas5 páginas
    Este documento resume 10 retos basados en las 10 vulnerabilidades más comunes documentadas por OWASP. Los retos cubrieron vulnerabilidades como inyección, autenticación rota, exposición de datos sensibles, entidades externas XML, control de acceso roto, configuración insegura, scripting entre sitios, deserialización insegura, componentes con vulnerabilidades conocidas y registro y monitoreo insuficientes. Cada reto explicó una vulnerabilidad y cómo podría explotarse para completar el desafío.

    Descripción original:

    OWASP top 10

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento resume 10 retos basados en las 10 vulnerabilidades más comunes documentadas por OWASP. Los retos cubrieron vulnerabilidades como inyección, autenticación rota, exposición de datos sensibles, entidades externas XML, control de acceso roto, configuración insegura, scripting entre sitios, deserialización insegura, componentes con vulnerabilidades conocidas y registro y monitoreo insuficientes. Cada reto explicó una vulnerabilidad y cómo podría explotarse para completar el desafío.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    60 vistas5 páginas

    OWASP Top 10 TryHackMe

    Cargado por

    Luis Mario Martínez
    Este documento resume 10 retos basados en las 10 vulnerabilidades más comunes documentadas por OWASP. Los retos cubrieron vulnerabilidades como inyección, autenticación rota, exposición de datos sensibles, entidades externas XML, control de acceso roto, configuración insegura, scripting entre sitios, deserialización insegura, componentes con vulnerabilidades conocidas y registro y monitoreo insuficientes. Cada reto explicó una vulnerabilidad y cómo podría explotarse para completar el desafío.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 5

    Luis Mario Martínez Ralón

    OWASP top 10 TryHackMe


    En este laboratorio se nos presentaron las 10 vulnerabilidades más comunes
    documentadas por OWASP, se nos enseñaron estas vulnerabilidades en forma de
    retos para adentrarse al tema y al mismo tiempo ponerlos en práctica.
    Estos 10 retos se resumen de la siguiente manera:

    • [Severity 1] Injection

    El reto consistió en adentrarse a los archivos contenidos de la maquina por


    medio de comandos y sacara la información necesaria para responder lo
    solicitado.

    Se explico tanto las inyecciones por medio de sql y las inyecciones por
    comando.

    • [Severity 2] Broken Authentication

    En está practica se mostro lo vulnerable que puede ser un sistema de


    registro, en este caso a un usuario existente se le agrego un espacio al mismo
    usuario al momento de crear otro usuario, esto dio acceso a la cuenta y
    obtener la respuesta del laboratorio.
    Luis Mario Martínez Ralón

    • [Severity 3] Sensitive Data Exposure

    En este reto se nos mostro como puede ser de peligro la exposición de los
    datos, en este caso se nos mostro un escenario en el cual fue posible obtener
    la base de datos por medio del comentario del código de la página al ingresar
    al inspector de la página, esto dio acceso a los usuarios de la página y
    permitió acceder a la cuenta del administrador para completar el reto.

    • [Severity 4] XML External Entity

    En esta práctica se nos explica cómo puede afectar la seguridad cuando la


    entrada XML que contiene una referencia a una entidad externa es
    procesada por un analizador XML, de esta forma al ingresar un código XML
    en el laboratorio nos permitió cambiar el payload y así afectar la página
    mostrando información sensible.
    Luis Mario Martínez Ralón

    • [Severity 5] Broken Access Control

    Para esta práctica se accedió a la cuenta de un usuario el cual se nos


    brindaron los datos de acceso, al momento de acceder a la cuenta,
    cambiando la url pudo ser posible acceder a las notas de otro usuario lo cual
    dio la clave de acceso para cumplir el reto.

    • [Severity 6] Security Misconfiguration

    En este laboratorio se nos mostro el caso en el cual una pagina puede tener
    deficiencia en su sistema de seguridad, para encontrar los datos de acceso
    de esta cuenta fue necesario llevar la búsqueda más allá de TryHackMe,
    indagando más se pudo encontrar la información de la pagina en GitHub, en
    el cual un archivo de lectura contenía los datos de acceso que estaban por
    default en la cuenta.
    Luis Mario Martínez Ralón

    • [Severity 7] Cross-site Scripting


    Al momento de realizar esta práctica se nos presento una página, en la cual
    por medio de scripts se pudo cambiar el comportamiento de la página, desde
    cambiar el título, hasta hacer aparecer mensajes emergentes, cosas que son
    de bajo impacto al momento de realizarlas de esta forma, pero utilizándolas
    de manera indebida pueden generar un gran daño a la página.

    • [Severity 8] Insecure Deserialization


    Esta práctica fue enfocada en las cookies de la aplicación, al momento de
    crear un nuevo usuario y acceder a las cookies, se pudo cambiar el rol del
    usuario a administrador, además de esto se realizo una práctica utilizando un
    programa brindado para Python en el cual, por medio de las cookies,
    logramos acceder a los datos del sistema y obtener los datos necesarios para
    completar el reto
    Luis Mario Martínez Ralón

    • [Severity 9] Components With Known Vulnerabilities – Lab

    Para esta actividad temenos que buscar las vulnerabilidades conocidas de la


    página, buscando algún exploit existente de la página, se encontró el error
    Unauthenticated Remote Code Execution , lo cual al ejecutarlo con Python3
    nos permitió acceder a la información necesaria para completar el reto.

    • [Severity 10] Insufficient Logging and Monitoring


    Para esta práctica se tuvieron que revisar los logs, esto para verificar alguna
    actividad inusual, en este caso se encontraron 4 intentos de inicio de sesión
    provenientes de una misma IP intentado ingresar a distintas cuentas, por lo
    tanto, se pudo intuir que fue un ataque de fuerza bruta realizado por el
    atacante.

    Finalmente, con esta actividad se dio fin a los retos que nos puso OWASP
    top 10.

    También podría gustarte