FASE 2 - FUNDAMENTACIN TERICA Y

PREPARACIN DE ENTORNO DE PRUEBAS DE SEGURIDAD

JHONATAN FERNANDO VEGA CALDERN

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA ECBTI
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
SEGURIDAD EN APLICACIONES WEB
12 OCTUBRE DE 2016

FASE 2 - FUNDAMENTACIN TERICA Y

PREPARACIN DE ENTORNO DE PRUEBAS DE SEGURIDAD

JHONATAN FERNANDO VEGA CALDERN

ANIVAR NESTOR CHAVES

Tutor

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA ECBTI
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
SEGURIDAD EN APLICACIONES WEB
12 OCTUBRE DE 2016

CONTENIDO

Pg
.
2.
3.
3.1
.
3.2
.
4.
5.
6
7

INTRODUCCION

OBJETIVOS.

OBJETIVO GENERAL.
..
OBJETIVOS ESPECIFICOS...
PLANTEAMIENTO DEL
PROBLEMA.
DESARROLLO DE LA ACTIVIDAD
CONCLUSIONES

BIBLIOGRAFIA..

4
5
5
5
6
7
18
19

2. INTRODUCCION

Actualmente las empresas estn expuestas a una gran cantidad de amenazas que
vulneran sus sistemas informticos, de all la importancia de mantener la
seguridad de los sistemas puesto que las consecuencias de un ataque informtico
pueden poner en riesgo la integridad de la informacin. Es muy importante tener
en cuenta que las empresas u organizaciones no se pueden permitir el lujo de
denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes
(ciudadanos) bajara enormemente.
Los ataques informticos tienen gran incidencia negativa en varios sectores de la
informacin de cada entidad, puesto que esta se podra ver modificada
inadecuadamente, adems de que se podra volver publica informacin
privilegiada tanto de la organizacin como de sus clientes al dejar expuesta la
informacin de sus usuarios, entre otros.
En consecuencia las empresas se ven afectadas por problemas relacionados con
la seguridad informtica, ya que evidentemente la seguridad en Internet afecta de
forma excesiva a las organizaciones que operan en la web como bancas
electrnicas, por ejemplo las cuentas bancarias en internet no son ms que bases
de datos y, como tal, estn expuestas. En definitiva, la seguridad afecta a todos: a
las grandes compaas por ser una gran tentacin para los hackers, los cuales ven
en ellas una posible opcin de filtracin y a los usuarios individuales por su
vulnerabilidad.
Por lo tanto con el presente trabajo se pretende abordar el problema del acceso al
conocimiento de las fuentes de riesgo empresarial frente al concepto del hacking y
sus posibilidades de solucin ya que gran cantidad de organizaciones estn
expuestas al ver como sus sistemas de informacin adems de que son
vulnerados por causas externas no cuentan con personal capacitado para
minimizar este tipo de ataques.
As pues el principal problema no es de carcter tcnico sino de toma de
consciencia de los peligros potenciales en la transmisin de informacin
confidencial y el desconocimiento de las distintas tcnicas de hacking.

3. OBJETIVOS

3.1.

OBJETIVO GENERAL

Construir un documento de anlisis comparativo para conocer las principales

tcnicas de hacking mediante ayudas instructivas que permitan comunicar las
posibles amenazas a los que se encuentran expuestos los sistemas de
informacin de la organizacin.
3.2.

OBJETIVOS ESPECIFICOS

Identificar los posibles ataques presentados en los sistemas de informacin.

Comprender las debilidades ms comunes que pueden ser aprovechadas y

cules son los riesgos asociados, con el fin de ejecutar de manera
inteligente y eficaz estrategias de seguridad efectivas.

Realizar Practica 1.

4. PLANTEAMIENTO DEL PROBLEMA

4.1.

Una vez estudiados los temas puede participar en el foro dando respuestas
a las preguntas orientadoras que se proponen a continuacin y discutiendo
las respuestas de los compaeros.

4.1.1.
4.1.2.
4.1.3.
4.1.4.
4.1.5.
4.1.6.
4.2.

En qu consiste el Hacking Etico?

Qu es y cmo funciona el protocolo HTTP?
Qu es y cmo funciona el protocolo TLS?
En qu consiste la autenticacin web?
Qu diferencia existe entre los esquemas STRIDE y DREAD?
Qu tipos de ataques existe en la Web y en que consisten?

Practica 1
Esta prctica consiste en descargar e instalar la distribucin Kali de Linux. Se
trata de una distribucin especializada en pruebas de seguridad informtica.
Puede instalar Kali Linux en una memoria USB de 16 Gb o en una mquina
virtual. No es recomendable que lo instale como sistema operativo principal de
su equipo de cmputo.
Luego, instalar DVWA y verificar que funciona correctamente.
Realice una exploracin y reconocimiento tanto las herramientas de Kali Linux
como DVWA.
Producto entregable
En el foro de la fase uno describa el proceso y muestre evidencias de haberlo
llevado a cabo.

4.3.

PRACTICA 1

Esta prctica consiste en descargar e instalar la distribucin Kali de Linux. Se

trata de una distribucin especializada en pruebas de seguridad informtica.
Puede instalar Kali Linux en una memoria USB de 16 Gb o en una mquina
virtual. No es recomendable que lo instale como sistema operativo principal de
su equipo de cmputo.
Luego, instalar DVWA y verificar que funciona correctamente.
Realice una exploracin y reconocimiento tanto las herramientas de Kali Linux
como DVWA.
Producto entregable
En el foro de la fase uno describa el proceso y muestre evidencias de haberlo
llevado a cabo.
4.3.1. INSTALACION DE KALI LINUX
4.3.1.1.

En la Fig. 1, se evidencia la creacin de la mquina virtual en

Oracle Virtual Box 5.0.26, eligiendo el nombre, tipo y versin de
SO.
Figura 1. Creacin de Maquina Virtual

4.3.1.2.

Fuente: autor
En la Fig. 2, se procede a elegir el tamao total de memoria con el
cual va a funcionar la mquina, en este caso 512MB
Figura 2. Tamao de Memoria

Fuente: autor
4.3.1.3.

En la Fig. 3, se visualiza la creacin del disco duro de 8GB, el cual

va a ser instalado Kali Linux 2016.1
Figura 3. Creacin de Disco Duro

Fuente: autor
4.3.1.4.

En la Fig. 4, se seleccion el controlador para unidad ptica y se

orden que iniciar de primero en el boot.
Figura 4. Configuracin de Unidad ptica para booteo

Fuente: autor
4.3.1.5.

En la Fig. 5, se evidencia el boot del kali-linux-2016.1-amd64.iso y

se seleccion que se instale el entorno grfico.
Figura 5.

Fuente: autor
4.3.1.6.

En la Fig. 6, se procede a seleccionar el idioma ESPAOL como

base del sistema operativo.
Figura 6. Seleccin de Idioma

Fuente: autor
4.3.1.7.

En la Fig. 7, se procede a seleccionar el lugar de ubicacin que en

esta caso es Colombia para tener en cuenta la zona y los horarios.

Figura 7. Seleccin de Ubicacin

Fuente: autor

4.3.1.8.

En la Fig. 8, se procede a seleccionar la configuracin del teclado

Latinoamericano.
Figura 8. Seleccin de Teclado

Fuente: autor

4.3.1.9.

En la Fig. 9, Se visualiza el cargue de los componentes a instalar

desde la unidad ptica virtual.

Figura 9. Cargue de componentes

Fuente: autor

4.3.1.10. En la Fig. 10, se establece el nombre del equipo el cual ser

reconocido en la red, en este caso le puse Kali-Linux-X64.
Figura 10. Asignacin de nombre de red

Fuente: autor
4.3.1.11. En la Fig. 11, se evidencia la asignacin de password para el
usuario root con perfil superadministrador.

Figura 11. Asignacin de password

Fuente: autor
4.3.1.12. En la Fig. 5, a continuacin se selecciona la particin del disco
duro para definir el lugar de instalacin del sistema operativo Kali
Linux.
Figura 12. Particin de Disco Duro

Fuente: autor

4.3.1.13. En la Fig. 13, Una vez seleccionado todos los parmetros, se

procede a la instalacin del sistema Kali Linux 2016.1, el cual
toma su tiempo para montar toda la estructura, los programas y el
entorno grfico.
Figura 13. Instalacin del sistema

Fuente: autor
4.3.1.14. En la Fig. 14, Se presenta el booteo del Kali Linux instalado en
Virtual Box.
Figura 14. Inicio de Kali Linux

Fuente: autor

4.3.1.15. En la Fig. 15, se digita el password asignado en la instalacin

(adminroot) requerido para el inicio de sesin.
Figura 15. Solicitud de Password

Fuente: autor

4.3.1.16. En la Fig. 16, finalmente se evidencia que el kali-linux-2016.1amd64.iso y se instal correctamente e inicio la sesin en su
entorno grfico con las credenciales establecidas.
Figura 16. Inicio de Sesin

Fuente: autor

4.3.2. INSTALACION DE DVWA (Damn Vulnerable Web Aplicaction)

4.3.2.1.

En la Fig. 17, se muestra que para empezar a debemos descargar

el archivo dvwa-1.9.zip desde el sitio web www.dvwa.co.uk.
Figura 17. Sitio Web DVWA

Fuente: www.dvwa.co.uk
4.3.2.2.

En la Fig. 18, se visualiza el procedimiento para mover con el

explorador el archivo descargado, desde la carpeta Descargas al
Escritorio.

Figura 18. Traslado de archivo .ZIP a Escritorio

Fuente: autor
4.3.2.3.

En la Fig. 19, Se procede a descomprimir el archivo DVWA-1.9.zip

en el Escritorio desde el Terminal con el comando.
root@Kali-Linux-X64: ~# cd Escritorio
root@Kali-Linux-X64: ~/Escritorio# ls
DVWA-1.9.zip
root@Kali-Linux-X64: ~/Escritorio# unzip DVWA-1.9.zip
Figura 19. Descomprensin de DVWA-1.9.zip

Fuente: autor

4.3.2.4.

En la Fig. 20, Se procede a mover la carpeta desde el Escritorio

hasta la ruta /var/www/html y luego se cambia de nombre.
Figura 20. Cambio de nombre carpeta base

Fuente: autor
4.3.2.5.

En la Fig. 21, Se procede asignar permisos a la carpeta

contenedora del software DVWA con el siguiente comando:
root@Kali-Linux-X64: ~# chmod -R 755 /var/www/dvwa
Figura 21. Ejecucin de permiso por comando

Fuente: autor

4.3.2.6.

En la Fig. 22, Se realiza una prueba de navegacin en Localhost

127.0.0.1 y se evidencia que el servicio esta STOP.
Figura 22. Prueba de Localhost

4.3.2.7.

Fuente: autor
En la Fig. 23, Se procede ejecutar apache2 desde el terminal con
el siguiente comando:
root@Kali-Linux-X64: ~# service apache2 start
Figura 23. Ejecucin de Apache2

Fuente: autor

4.3.2.8.

En la Fig. 24, Se procede ingresar desde el explorador a Localhost

con el fin de verificar que haya quedado inicio.
Figura 24. Prueba de Apache2

Fuente: autor
4.3.2.9.

En la Fig. 25, Se procede ejecutar apache2 desde el terminal con

el siguiente comando:
root@Kali-Linux-X64: ~# service apache2 stop
Figura 25. Detener Apache2

Fuente: autor

4.3.2.10. En la Fig. 26, Se procede ejecutar MYSQL desde el terminal con el

siguiente comando:
root@Kali-Linux-X64: ~# service mysql start
Figura 26. Ejecucin de mysql

Fuente: autor
4.3.2.11. En la Fig. 27, Se evidencia el acceso a la Interfaz de MySQL por
lnea de comando:
root@Kali-Linux-X64: ~# mysql -h localhost -u root -p
Enter password: adminroot
Figura 27. Ingreso a la Interfaz de MySQL

Fuente: autor

4.3.2.12. En la Fig. 28, Se realiza ejecucin de comando para poder ver las
bases de datos existen creadas en el sistemas:
mysql> show databases;
Figura 28.

Fuente: autor
4.3.2.13. En la Fig. 29, Se procede a crear la base de datos
(dvwa_jhonatanvega) por lnea de comando:
mysql> create database dvwa_jhonatanvega;
Figura 29. Creacin DataBase en mysql

Fuente: autor

4.3.2.14. En la Fig. 30, nuevamente se verifica que se haya creado

exitosamente la DataBase en MySQL por lnea de comando:
mysql> show databases;
Figura 30. Visualizar la DataBase creada

Fuente: autor
4.3.2.15. En la Fig. 31, se procede a iniciar nuevamente Apache2 por lnea
de comando:
root@Kali-Linux-X64: ~# service apache2 start
Figura 31. Inicio de Apache2 por comando

Fuente: autor

4.3.2.16. En la Fig. 32, Se procede a editar las rutas de acceso a la base de

datos de mysql tales como: db_server, db_database, db_user,
db_password.
Figura 32. Modificacin de archivo config.inc.php

Fuente: autor
4.3.2.17. En la Fig. 33, Se procede a dar ingreso a url
http://localhost/dvwa/setup.php para iniciar la instalacin del
software DVWA-1.9. Pero se evidencia que no cargo porque no
tenemos instalado PHP.
Figura 33. Inicio instalacin DVWA fallida

Fuente: autor

4.3.2.18. En la Fig. 34, Para iniciar la instalacin de PHP5, se procede

agregar al archivo sources.list ubicado en /etc/apt/ los
repositorios de Kali-rolling y luego se ejecuta en terminal el
comando apt-get update para poder actualizarlos.
Figura 34. Agregar Repositorio Kali-rolling

Fuente: autor
4.3.2.19. En la Fig. 35, se visualiza que despus de actualizados los
repositorios, se procede a iniciar la instalacin de PHP5-MySQLPear por lnea de comando:
root@Kali-Linux-X64: ~# apt-get install php5 php5-mysql php-pear

Figura 35. Instalacin de PHP5-MySQL-Pear

Fuente: autor

4.3.2.20. En la Fig. 36, para evitar el error de tabla

'dvwa_jhonatanvega.users' no existe, se debe ejecutar lnea de
comando:
root@Kali-Linux-X64: ~# curl --data 'create db=create+
%2F+Reset+Database' http://localhost/dvwa/setup.php# --cookie
PHPSESSID=1

Figura 36. Solucin error table en database

Fuente: autor

4.3.2.21. En la Fig. 37, se realiza el primer inicio en el software DVWA 1.9

atraves del navegador web en la url http://127.0.0.1/dvwa

http://localhost/dvwa y escribe los datos por defecto su nombre de

usuario y contrasea:
Username admin
Password password
Figura 37. Inicio de Sesin DVWA

Fuente: autor
4.3.2.22. En la Fig. 38, despus del inicio de sesin, una vez adentro
ingresamos a Setup / Reset DB presionamos la opcin Create /
Reset Database y ya se conecta el software con la base de datos
creada. Y finalmente ya nos permite carga los dems opciones en
el men para empezar a utilizarlo.
Figura 38. Login de DVWA

Fuente: autor

3. CONCLUSIONES
Este trabajo ha descrito la naturaleza y caractersticas de la importancia de la
seguridad informtica como es el tema de hacking empresarial, se ha visto que las
organizaciones no concientizan y capacitan adecuadamente a los empleados, no
se ensea por qu crear e implementar una cultura de seguridad informtica
empresarial y cul es el impacto que esta traer a la organizacin. Asimismo, se

conocieron herramientas tiles para realizar pruebas de penetracin y medir el

grado de vulnerabilidad, con el fin de tomar medidas dentro de las organizaciones.
La informacin recogida en este trabajo acerca de las diferentes tcnicas de
Hacking permite abordar el problema del acceso sin autorizacin tanto desde una
perspectiva de prevencin como desde un mbito de deteccin con las
correspondientes medidas. Con el conocimiento adquirido se dispone de cierta
ventaja para afrontar muchos de los retos que surgen cada da en materia de
seguridad informtica.
Se ha podido observar la gran cantidad de situaciones de amenaza en las que se
encuentran inmersas las organizaciones, as como la necesidad de
documentacin y, ms que eso, capacitacin para todas las personas que forman
parte de la organizacin, en busca de unos mtodos y unas prcticas ms
eficientes. Este factor humano debe tomarse como el elemento clave, ya que de
una adecuada sensibilizacin dependen los resultados a la hora de afrontar
situaciones que ponen en riesgo la estructura organizacional.

4. BIBLIOGRAFA.

[1] Bases de datos y sus vulnerabilidades ms comunes, disponible en

http://www.acens.com/wp-content/images/2015/03/vulnerabilidades-bbddwp-acens.pdf

[2] Gua de administracin del sistema: servicios de seguridad, disponible en

https://docs.oracle.com/cd/E24842_01/pdf/E23286.pdf

[3] Herramientas de escaneo de vulnerabilidades para SP, BD y Red,

disponible en: https://prezi.com/l9ogc4bwnoex/herramientas-de-escaneode-vulnerabilidades-para-so-bd-y-re/

[4] Explotando vulnerabilidades: buffer overflow y shellcode, disponible en:

http://www.ellaberintodefalken.com/2013/07/vulnerabilidades-shellcodebuffer-overflow.html