4 abr 2013

Web for Pentester: ejercicio para aprender pentesting web

De entre los muchos ejercicios que nos podemos encontrar en el interesante proyecto de PentesterLab creado por Louis Nyffenegger (@snyff), se acaba de publicar un conjunto de ejercicios llamado "Web for Pentester".

Estos ejercicios repasan las vulnerabilidades más comunes que nos podremos encontrar a la hora de analizar y realizar pruebas sobre aplicaciones web. El enfoque de estas prácticas no es sólo el de realizar las pruebas web como tal, si no todo lo relacionado a procesos de test de intrusión, como el reconocimiento de la arquitectura, sistema, servicios, etc.

Se proponen varios ejemplos para cada una de las siguientes tipos de vulnerabilidades:
  • Pruebas básicas de reconocimiento (fingerprinting)
  • Cross-Site Scripting
  • Inclusión de ficheros
  • Ataques LDAP
  • Inyecciones SQL
  • Inyección de código
  • Subida de ficheros
  • Pruebas de ruta transversal
  • Inyección de comandos
  • Ataques XML
Esta vez no se trata de ejercicios online, si no que el creador del proyecto ha preparado una pequeña imagen .iso, en la cual, bajo el sistema operativo Debian, se ha creado un entorno en el que se incluyen  diferentes scripts vulnerables.

Con la imagen, en la sección de descargas de estos ejercicios se encuentra un documento en .PDF en el que se explican todas y cada una de las pruebas con sus correspondientes ejemplos, aunque obviamente, recomendamos consultar este documento después de, por lo menos, haberle dedicado un buen rato a resolverlos por cuenta propia.

Dicho informe recoge el análisis realizado desde las fases iniciales del test de intrusión (reconocimiento del servicio web, búsqueda de recursos interesantes, puntos de entrada a la aplicación, análisis de respuestas del servidor web, etc), así como conceptos básicos y requeridos para completar las pruebas posteriores.

Si bien el nivel de dificultad se ha determinado como para principiantes, es un buen repaso, además de completo, para cualquier interesado en este campo de la seguridad informática sobre aplicaciones web.

Fuente: SecuritybyDefault

Suscríbete a nuestro Boletín

2 comentarios:

  1. Gracias por este material, estoy interesado en iniciarme y aprender mucho sobre este tema!...

    Exitos!

    ResponderBorrar
  2. Se ve muy interesante el proyecto de PentesterLab es lo que estaba buscando para aprender en base a la práctica, gracias por compartir esta información y felicidades por su blog me han gustado mucho los artículos.

    Saludos!

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!