Universidad Catlica de Santa Mara. Benavente Yepez, Angles Perez.
Pentesting y Evaluacin de vulnerabilidades 1
Pentesting, evaluacin de vulnerabilidades en
pginas Web
Benavente Ypez Vctor., Algles Prez Alexander.
{templario0141, alexanderaaa }@gmail.com
Universidad Catlica de Santa Mara
ResumenEn la ltima dcada las empresas y
organizaciones han optado por adquirir aplicaciones web, una
de las ventajas es que corren bajo un servidor y ya no bajo un
sistema operativo, el motivo principal de esta tendencia es la
disponibilidad de la aplicacin a travs de dispositivos que
tengan un navegador web, como por ejemplo: ordenadores,
smartphones, tablets, etc.
Pero a raz de este gran avance por parte de las empresas y
organizaciones, se han reportado miles de ataques ya sean para
robar informacin, manipular datos delicados o por
simplemente querer destruir determinada pgina. En el
presente documento se exponen los diferentes tipos de
vulnerabilidades ms comunes, los tipos y metodologas del
pentesting, y sobre todo cuales son las ventajas y desventajas
de analizar las vulnerabilidades de la pgina web de forma
manual o con la ayuda de algn software de escaneo.
Palabras clavepentesting, vulnerabilidades, cross site
cripting, sql injection, webserver, kali Linux.
I. INTRODUCCION
{rehacer introduccin}
//---------------------------------------------------
Actualmente vivimos en una era de la informacin en la que
las empresas de software estn orientadas a crear sistemas web
o aplicaciones web, debido a esto han surgido muchas formas
de corromper esta seguridad web, a continuacin se presentan
unos cuantos ejemplos de ataques ms comunes utilizados por
cibercriminales.
El ataque DNS hijacking consiste en un secuestro de
sesin modificando las tablas de mapeo de las direcciones de
dominio. El usuario al buscar el dominio web, realizar una
consulta al servidor DNS que le derivar a un servidor web
infectado
El ataque del tipo XSS (Cross-site Scripting) consiste
bsicamente en insertar script malicioso en un sitio web desde
otro, hay dos formas de realizar el ataque: directa e indirecta.
El ataque XSS directo o persistente se da cuando se inyecta
cdigo HTML por medio de etiquetas. Es el tipo de ataque
ms grave ya que el cdigo se queda implantado en la web de
manera interna y se ejecutara cada vez que se abra la pgina
web.
El ataque XSS indirecto o reflejado, consiste en editar los
valores que pasan mediante URL ingresando el cdigo
malicioso haciendo que se ejecute en dicho sitio.
Es su mayora, la mayor parte de ataques XSS han sido
satisfactorios, pero hay una directiva de pgina de ASP que
valida las peticiones de los clientes y es posible detectar a un
cliente malicioso, sin que este se d cuenta.
Otro ataque muy conocido es el SQL Inyeccin que consiste
en alterar el normal funcionamiento de una base de dados
mediante sentencias SQL usadas por el atacante, esto puede
causar la alteracin de registros, o la divulgacin de la
informacin.
Los tipos de inyeccin dependen de la vulnerabilidad del
sistema, las principales vulnerabilidades son: cadenas mal
filtradas, la incorrecta manipulacin de tipo de datos que
consiste en colocar una instruccin SQL en la entrada de datos
del sistema, generalmente este problema se da porque no
declararon bien el tipo de variable, otro tipo de vulnerabilidad
es la evasin de firma y blind SQL injeccin o inyeccin a
ciegas que consiste en realizar pequeos cambios en la pgina
de resultados, en este caso el atacante no sabe lo que obtendr.
En la actualidad los ataques SQL estn entre las 10 principales
vulnerabilidades web, por eso las empresas cuentan con
mecanismos de seguridad, ya sean firewalls o antivirus, por lo
que el atacante deber buscar nuevas puertas del sistema para
poder realizar la inyeccin.
Un ataque XPath consiste en usar el lenguaje de programacin
xpath para moverse dentro de un rbol XML para consultar,
modificar y rbar datos, esta tcnica se empez a usar desde el
2002.
Un ataque que se ha popularizado en la ltima dcada es el
DDoS que consiste en un ataque de sistemas de computadoras
lo que causa que los recursos que iban a ser usados por los
usuarios legtimos sean inaccesibles. Lo que consiste es que la
red o conjunto de computadoras se encarguen de saturar la red
de la compaa o empresa haciendo que su ancho de banda se
sobrecargue. Este tipo de ataque es el ms sencillo y eficaz
que se podra hacer hacia una empresa ya que los ataques DOS
se realizan a travs de una RED DE BOTS.
Universidad Catlica de Santa Mara. Benavente Yepez, Angles Perez. Pentesting y Evaluacin de vulnerabilidades
Se define la denegacin de servicio (Deny Of Service, DDoS)
como la imposibilidad de acceso a un recurso o servicio por
parte de un usuario legtimo. De esta forma se puede definir
un ataque de denegacin de servicio (DDoS Attack) como la
apropiacin exclusiva de un recurso o servicio con la intencin
de evitar cualquier acceso de terceros. Tambin se incluyen en
esta definicin los ataques destinados a colapsar un recurso o
sistema con la intencin de destruir el servicio o recurso.
El ataque por intermediario (Men in the Middle) se encarga de
que una tercera persona desve la sesin del usuario. Lo que el
MitM se encarga es de hacer pensar al usuario que est siendo
respondido por el servidor y a la vez se encarga de hacer
pensar al servidor que est siendo usado por el usuario, as
generando y usando las contraseas guardadas en los cookies
de la pgina y generando un usuario atacante.
En el artculo no especifica la eficiencia o dificultad de
realizar pro si nos da indicaciones de cmo evitarlas
(Utilizar las herramientas como el HTTP, conexiones VPN
para evitar el secuestro de sesin cuando ingresamos a alguna
red social.)
//--------------------------------------------------
II. APLICACIONES WEB
Son interfaces que se encuentran entre los usuarios y
los webservers que suelen moverse entre los dos mundos,
ejecutando cdigos javascript en la mquina del usuario y
gestionando consultas cliente-servidor, etc. Por lo tanto son
susceptibles de ataques de manipulacin de cdigo y acciones,
como inyecciones sql, explotacin de vulnerabilidades XSS,
hijacking, spoofing, MITM, etc. Adems a partir de la llegada
de la nombrada como web 2.0, estos riesgos se han ampliado
considerablemente, dado que el objetivo es crear ms
interactividad y movimiento a las webs tradicionales estticas
[1].
Si deseamos comprender que son las aplicaciones web, es
interesante describir la arquitectura interna que suelen tener.
En el principio de la cadena tenemos una capa de aplicacin
para clientes, la cual contiene todo el conglomerado de
servicios accesibles desde el navegador de Internet. Aqu se
ejecuta cdigo JavaScript, Silverlight, HTML5 o flash (venido
a menos/desuso). Estos navegadores alojados en las mquinas
o sistemas mviles se comunican con los webservers, que son
los encargados de procesar las consultas, protocolos y
comunicaciones. Es decir, esta es la siguiente capa de
aplicacin, la cual incluye procesos como logins, proceso
HTTP/S, filtros de Firewall, cach de los proxys, entre otros
aspectos. Es la encargada de filtrar hacia la informacin
sensible, que representa que se aloja en las bases de datos.
Pero antes de llegar a la informacin concreta, normalmente
en empresas existe otra capa, llamada capa de negocio. Esta
capa incluye cdigo de proceso de informacin (C++, .NET,
2
J2EE, etc.) y procesos de acceso a la base de datos. Despus,
por ltimo aparece la capa base de datos, esta contiene los
servicios y procesos relacionados con
la obtencin de informacin, servicios en la nube, etc.
La informacin y comunicacin entre estas capas fluye
bidireccionalmente y en todo su conjunto se define como una
aplicacin web [2].
A. Pginas web estticas
Son pginas enfocadas principalmente a mostrar una
informacin permanente como se aprecia en la figura 1, se
crean mediante el lenguaje HTML, que NO permite grandes
libertades para crear efectos o funcionalidades ms all de los
enlaces, pero que haciendo uso de otros recursos se pueden
obtener muy buenos resultados llegando a ser pginas muy
similares a las dinmicas en cuando a su visualizacin se
refiere.
Esta es una opcin ms que suficiente para aquellos que
simplemente ofrecen una descripcin de su empresa, quines
somos, donde estamos, servicios, etc. Ideal para empresas que
no quieren muchas pretensiones con su sitio Web,
simplemente informar a sus clientes de sus productos y dar a
conocer su perfil de empresa, entre otros.
Figura. 1 Diferencias entre las pginas webs estticas y dinmicas.
B. Pginas web dinmicas
Se construyen haciendo uso de otros lenguajes de
programacin, siendo el ms utilizado de todos el PHP, con lo
cual podemos definir las funciones y caractersticas que se
deben cumplir de acuerdo a nuestras necesidades.
Estas permiten la creacin de aplicaciones dentro de la propia
Web, ofrecen tambin una mayor interactividad con los
usuarios que la visiten. Otras funcionalidades que se pueden
crear mediante las web dinmicas son las aplicaciones como
encuestas y votaciones, foros de soporte, libros de visita, envo
de e-mails inteligentes, reserva de productos, pedidos on-line,
atencin al cliente de manera personalizada, entre otros.
La creacin de una pgina web dinmica es ms compleja, ya
que se requiere de conocimientos especficos de lenguajes de
programacin y gestin de bases de datos. Mediante la
creacin de una pgina web dinmica; el cliente o empresa
que la solicite recibir prcticamente 2 pginas en una, ya que
por un lado tendr un panel de administracin no visible por
los usuarios o visitantes de la web y por otro lado tendr lo
Universidad Catlica de Santa Mara. Benavente Yepez, Angles Perez. Pentesting y Evaluacin de vulnerabilidades 3

que es la web pblicamente visible para los usuarios. Es por

esta otra razn que su creacin requiere de un costo ms alto.

III. PENTESTING TEST

Una prueba de penetracin es un proceso en el cual se realiza

una evaluacin o una auditoria de seguridad de alto nivel.
Para realizar pruebas de penetracin satisfactorias contra
aplicaciones web se necesita tener un buen conocimiento; ms
all del nivel de usuario normal; sobre las tecnologas web.
Fig. 2 Metodologa cclica para la evaluacin y penetracin de una pgina
Entender como es su funcionamiento desde la perspectiva del
web.
desarrollador o administrador web [3].
De esta manera los profesionales en pruebas de penetracin
IV. VULNERABILIDADES
deben pensar de manera maliciosa pero actuando
profesionalmente. Deben preguntarse cmo sera factible pasar
las restricciones, analizar cules podran ser los errores Existen vulnerabilidades que an no tienen solucin y se les
cometidos por los desarrolladores, administradores, y conoce como vulnerabilidades del da cero, pero tambin
operadores del sistema objetivo. existen otras muy conocidas a las cuales se han creado formas
Esta es una perspectiva de pensamiento completamente para poder prevenir posibles ataques, como se muestra en la
diferente a la de los desarrolladores o administradores. Lo cual siguiente tabla:
permite enfocarse en pasar los controles de las aplicaciones, o
TABLA I
encontrar problemas en lgica del negocio. MATRIZ DE TRAZABILIDAD DE ATAQUES, VULNERABILIDADES,
TECNICAS Y HERRAMIENTAS
A. Tipos de pentesting Ataque Vulnerabilidad Tcnica de Herramienta
Caja negra: Este tipo de prueba suele ser la ms deteccin de para deteccin
vulnerabilidades de
compleja y ocurre cuando la empresa no le facilita vulnerabilidades
nada de informacin al pentester sobre el sistema, Inyeccin Inyeccin Anlisis esttico QualysGuard Web
como mximo se le brinda la direccin URL o IP de SQL del cdigo, Application
la pgina web a evaluar, es la ms comn en pruebas Anlisis dinmico Scanning WAS,
y pruebas de WebSite Security
de penetracin a redes [4]. penetracin Audit-WSSA,
Caja blanca: Este tipo de prueba se da generalmente WEBAPP 360
al momento terminar un sistema informtico, se pasa Ataque XSS Secuencia de Anlisis esttico QualysGuard Web
a la fase de aseguramiento de calidad de software, la comandos en de cdigo, Application
sitios cruzados Pruebas de Scanning WAS,
caracterstica principal de esta prueba es que se tiene XSS penetracin WebSite Security
acceso completo al cdigo fuente. Audit-WSSA
Caja gris: Este tipo de prueba se da cuando la Ataque Man in Exposicin a Nessus
empresa en evaluacin les brinda algo de informacin the middle datos sensibles Vulnerability
Scanner, Retina
a los pentester. Tambin ocurre cuando hay un Web Security
empleado descontento y este tiene acceso a las redes Scanner
y al sistema, podra causar muchos daos a la Ataque de Manejo de Utilizacin de WebSite Security
empresa. fijacin de sesin estndar de Audit-WSSA,
sesiones manejo de Retina Web
B. Metodologa de una prueba de penetracin sesiones Security Scanner,
WEBAPP 360
En el rea de pentesting, existen diversas metodologas de Configuracin Configuracin Pruebas de MCfree
codigo abierto que tratan de conducir o guiar los de seguridad de seguridad penetracin Vulnerability
requerimientos de las evaluaciones en seguridad. La idea incorrecta incorrecta Manager,
QualysGuard Web
principal de utilizar una metodologa durante la evaluacin, es Application
ejecutar diferentes tipos de pruebas paso a paso para poder Scanning
juzgar con mucha precisin la seguridad de un sistema, cabe Ataque de Falsificacin de Anlisis esttico QualysGuard Web
resaltar que no existe un criterio nico y que pueden existir falsificacin peticiones en del cdigo Application
diversas metodologas como se muestra en la figura 2. de peticiones sitios cruzados Scanning WAS
en sitios
cruzados
Phising Redireccin y Anlisis esttico SCA
reenvos no del cdigo
validos
Universidad Catlica de Santa Mara. Benavente Yepez, Angles Perez. Pentesting y Evaluacin de vulnerabilidades
Existen cientos de tcnicas para la deteccin de
vulnerabilidades, entre las ms usadas estn: Black-box,
White-box, Anlisis esttico de cdigo, anlisis dinmico, etc.
A la par tambin existen miles de herramientas para la
deteccin de vulnerabilidades, entre las ms populares estn:
QualysGuard Web Application Scanning, WebSite Audit-
WSSA, Retina Web Security Scanner, Frame-c, MCfree
Vulnerability Manager, Parasoft C/C++, Nessus Vulnerability
Scanner, etc [5].
A. Vulnerabilidades por fuerza bruta
Se entiende por fuerza bruta cuando se intenta romper todas
las combinaciones posibles de nombre de usuario y
contrasea en una pgina web, por ejemplo si se desea hallar
una contrasea entre mil millones, lo que se hace es usar
algoritmos que hallan y prueban todas las posibles
combinaciones, pero esto puede llevar un buen tiempo, y si
las contraseas son muy seguras y usan caracteres especiales
con nmeros y maysculas, puede que el proceso de hallar y
probar todas las combinaciones sea eterno literalmente.
Los ataques de fuerza bruta buscan contraseas dbiles para
ser descifradas y tener acceso de forma fcil. Un ejemplo de
vulnerabilidad de este tipo podra ser la herramienta
Aircrack que se muestra en la figura 3.
Fig. 3 Aircrack es un programa crackeador de claves 802.11 WEP y
WPA/WPA2-PSK., como se muestra en la figura Aircrack prueba todas las
combinaciones, recibiendo como parmetros la longitud de la clave a
buscar, este proceso puede demorar desde minutos hasta meses.
B. Vulnerabilidades de inyeccin de cdigo SQL
Esta tcnica se da cuando alguien desde el exterior de la red,
intenta manipular la base de datos de un servidor o una
aplicacin mediante comandos sql que aprovechan
vulnerabilidades conocidas o deficiencias de seguridad. La
intencin es alterar el procesamiento normal de las consultas
sql o accesos no autorizado, aadiendo y ejecutando cdigo
malicioso.
Las respuestas que aceptan los servidores web y aplicaciones
debern tener medidas de seguridad para poder mitigar con
esta problemtica que busca la extraccin de informacin
sensible o la malversacin de sta. Estas vulnerabilidades de
seguridad estn en la capa de aplicacin, es decir, son las
4
aplicaciones web las que deben protegerse de estos tipos de
ataques y no es un defecto en s del lenguaje SQL.
Dicho esto, para entender exactamente en qu consisten en
estos ataques, se van explicar los principales tipos que nos
podemos encontrar [6].
Errores Basados en SQL:
Estas inyecciones de comandos buscan provocar un
error o perturbacin en las bases de datos
afectadas. Este tipo a su vez se divide en 5 subtipos
dependiendo de la naturaleza del error:
Procesos guardados en sistemas: como bien indica el
nombre, se basa en provocar errores en
procesos guardados de las bases de datos.
Comentarios de final de lnea: cuando se inyecta
cdigo legtimo en una entrada, al final se
puede aadir un apartado de comentarios que puede
usarse para inyectar cdigo. Por ejemplo:
SELECT * FROM user WHERE name = David
AND userid IS NULL; --;
Consultas ilgicas: se pueden introducir parmetros,
tipos de datos o nombres de tablas para
obtener resultados de inters de la base de datos.
Tautologa: son las inyecciones que siempre
retornarn resultados verdaderos y provoca que
las bases de datos pueden devolver informacin que
no debera, por ejemplo:
SELECT * FROM users WHERE login= user or
1=1 --;
Unin SQL: el comando UNION en SQL se puede
utilizar para enlazar varias consultas que por
separado no dejara el sistema, por ejemplo:
SELECT name, phone FROM users WHERE id=$id
$id=1 UNION ALL SELECT creditCardNumber
FROM cctable
SQL Blind:
Tambin llamado ataque a ciegas, se aprovecha de
una vulnerabilidad web. Concretamente se observa
cuando al realizar consultas errneas, esta no contesta
adecuadamente. Para entenderlo mejor se defienden
los tres casos posibles:
Pgina general: procede cuando ante la inyeccin
SQL, aparece una ventana o pgina web generada
automticamente.
No error: esto ocurre cuando el atacante no recibe
ningn tipo de informacin al inyectar un cdigo
SQL malicioso excepto cuando la consulta es
legtima. Por ejemplo podemos deducir si un nmero
de tarjeta de crdito, un usuario, un dato concreto
existe en la base de datos o no.
Universidad Catlica de Santa Mara. Benavente Yepez, Angles Perez. Pentesting y Evaluacin de vulnerabilidades
Tiempos excesivos: se pueden introducir comandos
que jueguen con los lapsos de tiempo entre servidores
y consultas para deducir cierta informacin, por
ejemplo que versiones de MySQL tiene, por ejemplo:
SELECT * FROM users WHERE id=1-
IF(MID(VERSION(),1,1) = 5, SLEEP(15),0);
C. Vulnerabilidad de inyeccin de comandos
Code Injection es el trmino general para el tipo de ataques
que tratan de inyectar cdigo que es interpretado/ejecutado por
la aplicacin. Este tipo de ataques explota el manejo pobre de
informacin no confiable. Este tipo de ataques son
habitualmente posibles por no validar apropiadamente las
entradas y salidas de datos, por ejemplo:
Caracteres permitidos (expresiones regulares, clases
o personalizadas)
Formato de los datos.
Cantidad de datos esperada.
A diferencia de Command Injection, el atacante est limitado
por las funcionalidades del lenguaje inyectado. Si un atacante
es capaz de inyectar cdigo PHP en la aplicacin y hacer que
este sea ejecutado, l solo estar limitado por lo que PHP es
capaz de hacer. Command Injection consiste en el
aprovechamiento de cdigo existente para ejecutar comandos,
normalmente sin el contexto de la SHELL.
D. Vulnerabilidad de cross site cripting (xss)
XSS es el acrnimo utilizado para referirse a un tipo de
ataque (tambin a la debilidad de seguridad que permite dicho
ataque) denominado originalmente Cross-Site Scripting.
Este tipo de ataques se realiza sobre aplicaciones que utilicen
HTML (normalmente sitios web) [7]. Su nombre podra ser
traducido como scripting inter-sitios y se refiere al fundamento
de este ataque: inyectar cdigo de script
en un sitio web desde otro, existen 3 tipos de ataques XSS los
cuales son:
XSS Directo:
Este tipo de ataques se dan cuando datos
proporcionados por un cliente web (a travs de una
URL, de un formulario, etc.) son inmediatamente
utilizados por scripts de servidor para generar una
pgina de resultados para dicho cliente web. Si estos
datos no son validados y son automticamente
incluidos en la respuesta del servidor, el cliente puede
inyectar cdigo (normalmente malicioso) en dicha
respuesta. En un principio puede parecer que un
cliente puede inyectar cdigo solo en respuestas
dirigidas a s mismo, pero si dicho usuario
malicioso crea una URL con cdigo de script y
logra que otro usuario acceda a ella, puede lograr que
5
dicho cdigo se ejecute en la respuesta proporcionada
al otro usuario. Para enmascarar este tipo de ataques
se suele codificar en hexadecimal el cdigo de script
[8].
XSS Indirecto:
Tambin conocido como inyeccin HTML.
Denominado en textos de lengua inglesa Persistente.
Este tipo de ataques se dan cuando los datos
proporcionados por los clientes web son almacenados
en el servidor (en una base de datos, sistema de
archivos, variable de sesin, etc.) y mostrados
posteriormente en otra pgina web del servidor.
Basado en Dom:
A diferencia de los dos tipos de ataque XSS
anteriores, el cdigo malicioso no se ejecuta porque
el servidor devuelva una respuesta HTML con dicho
cdigo embebido, sino porque el cliente comienza a
pasear un rbol DOM utilizando datos entre los que
se encuentra dicho cdigo (por ejemplo, utilizando la
URL actual del documento document.URL que
incluye un script malicioso.
E. Vulnerabilidad de denegacin de servicio
Un ataque de denegacin de servicios consiste en enviar datos
innecesarios y masivos a un servidor para sobrecargarlo y
conseguir entorpecer alguna de las propiedades ACID. Es ms,
si se colapsa el servidor completamente quedando inutilizado
durante el mayor tiempo posible, el ataque DoS habr tenido
el mejor final posible.
No obstante, actualmente, los servicios web ms usados no
estn centralizados en un nico servidor, sino que estn
distribuidos, por lo que un solo sistema no tiene la capacidad
suficiente como para provocar daos verdades. Es por ello que
el concepto de DoS se ampla a DDoS (Distributed Denial of
Service) y se acta conjuntamente con muchos sistemas
distribuidos atacantes para provocar los daos. Para ello, se
utilizan botnets, equipos infectos en modo zombie que
reaccionan conjuntamente enviando datos cuando se activa el
ataque (flooding es el nombre que comnmente se utiliza para
indicar en envo masivo de datos).
Actualmente los ataques DDoS son un grave problema para
webs con un trfico de datos importante, o webs
gubernamentales. A menudo es el tipo de ataque preferido por
hacktivistas provocando serias prdidas en empresas
multinacionales o gobiernos.
Principalmente los objetivos y tcnicas de saturacin de
servicios son:
Envo de paquetes fragmentados.
Envo masivo de informacin intil.
Envo de paquetes SYN con direcciones spoofeadas
(SYN flood).
Comparticin de datos Peer to peer masivos.
Phlashing (ataques que de algn modo causan daos
irreparables en el sistema).Por
Universidad Catlica de Santa Mara. Benavente Yepez, Angles Perez. Pentesting y Evaluacin de vulnerabilidades
ejemplo se envan actualizaciones dainas a los
dispositivos.
V. ANALISIS DE VULNERABILIDADES
A. Manuales
Consiste bsicamente en que el pentester analice el cdigo
fuente del sistema web, tambin que revise la infraestructura
de las redes, crear herramientas de explotacin que ayuden a
encontrar posibles vulnerabilidades.
La nica desventaja de este tipo de anlisis son los gastos, y
ms an si se contrata un equipo de pentesters.
B. Automticos
Son herramientas que pueden escanear rpidamente un sitio y
devolver las vulnerabilidades encontradas, adems tienes las
ventajas de ser ms baratos y tener disponibilidad y
automatizacin. El inconveniente es tener menor control sobre
el comportamiento del ataque, por lo cual se es propenso a
obtener falsos positivos.
Existe el proyecto de cdigo abierto WAVSEP que se encarga
de evaluar diversas herramientas de seguridad, aplicando
varias pruebas en entornos virtuales.
En el ltimo informe de WAVSEP, se analizaron mltiples
herramientas de seguridad como se muestra en la figura 4.
Fig. 4 En la parte superior w3af nos muestra un porcentaje de exactitud
frente a vulnerabilidades de diversos tipos y tambin un porcentaje de falsos
positivos. En la parte inferior se muestra Wapit, una herramienta de lnea de
comando escrita en python, como se observa hay datos que muestran
resultados muy disparejos.
Se puede llegar a la conclusin que no existe herramienta que
nos den resultados confiables y es por esto que se recurre a los
anlisis hbridos.
C. Hbridos
Esta es la mejor forma de hacer un anlisis de vulnerabilidades
ya que se combinan los anlisis manuales y automticos. El
pentester usa herramientas de escaneo que lo ayudan a ver las
posibles vulnerabilidades y comprobarlo el mismo. A si de
esta forma se puede llegar a resolver todas las posibles
vulnerabilidades pagando gastos intermedios.
6
VI. PRUEBAS DE PENTESTING
Se trabaj en el sistema operativo Kali Linux como sistema
base, el cual fue virtualizado en Virtual
Box, sobre el que se instalaron diversos sistemas operativos
con servicios de red, como HTTP, Samba y MySQL que
fueron los objetivos de los ataques lanzados utilizando
diversas herramientas contenidas en el sistema operativo base
y siguiendo una metodologa para hacer pruebas de pentesting;
en la figura 5 se muestra el entorno de pruebas que se
implement y la configuracin de red de cada sistema
operativo. En los Equipos 5 y 6 se les habilit un firewall para
todas las prueba de pentesting efectuadas, con la finalidad de
incrementar la complejidad en la realizacin de escaneo y
reconocimiento [9]. Los sistemas operativos virtualizados
instalados fueron varias distribuciones Linux y Windows,
algunas de las cuales son distribuciones conocidas como
metaesploitables, ya que incluyen vulnerabilidades conocidas
para ser explotadas con la finalidad de aprender a travs de la
puesta en prctica de las diferentes fases de pruebas de
pentesting. Las herramientas embebidas y utilizadas en este
laboratorio fueron en primer lugar Metasploit que es un
framewok que incorpora un conjunto de elementos como
exploits, scanners y payloads que permiten realizar una prueba
de intrusin cubriendo cada una de las fases, desde la
adquisicin de informacin hasta la fase de post-explotacin.
Fig. 5 Modelo del entorno de pruebas controlado
A. Prueba realizada de un ataque a fuerza bruta
En este ataque de fuerza bruta se explot un fallo de
configuracin en el servicio de MySQL al no contar con un
mecanismo que evitara un mximo de intentos de login; para
este ataque se utilizaron las herramientas Nmap para realizar
el reconocimiento del servicio, posteriormente se seleccion la
herramienta Mysql_login del framework Metasploit, en el que
se utiliz un script que hace uso de dos diccionarios para
obtener las credenciales de acceso al servidor MySQL.
Universidad Catlica de Santa Mara. Benavente Yepez, Angles Perez. Pentesting y Evaluacin de vulnerabilidades
B. Prueba realizada de un ataque sql injection
Este ataque consisti en un ataque SQL Injection a una pgina
Web, con la herramienta SQLMap, que permiti en primer
trmino, entrar a la base de datos y posteriormente realizar una
escalada de privilegios para acceder como un usuario de
sistema al equipo objetivo, utilizando el protocolo SSH. En la
figura 6 se muestra el resultado que arroja la ejecucin de la
herramienta SQLMap, donde se pueden ver a los usuarios y
contraseas del sistema que fueron probados y permitieron
hacer un login exitoso mediante SSH al servidor vctima.
Fig. 6 Resultado de la ejecucin SQLMap, se descubri una base de datos
llamada gallery, la cual almacenaba una tabla dev_accounts, y en dicha tabla
se descubrieron los campos id, username y password.
C. Prueba realizada de un ataque xss
Este ataque consisti en explotar una vulnerabilidad CrossSite
Scripting (XSS) en sus dos modalidades: reflejado y
persistente. En este apartado se describe el ataque XSS
persistente, para el que se utiliz la herramienta Burp Suitecon
un Tag Script que permiti alterar la pgina vctima al permitir
la insercin decdigo malicioso en el formulario de la
aplicacin, usando los parmetros name y message que
son vulnerables al XSS. El cdigo insertado en este ataque
permiti insertar una imagen. En la figura 7 se observa el
proceso de insercin de cdigo.
Fig. 7 Insercin de cdigo en la pgina victima
D. Prueba realizada de denegacin de servicio
Este ataque fue directamente dirigido dirigido al puerto 80 del
servicio HTTP, en el que se hizo uso de un script denominado
Slowris. En la figura 8 se muestra la construccin de las
7
peticiones a enviar hacia el servidor objetivo, que
consiste en la creacin y envo de grandes cantidades de
paquetes que permitieron inundar al servidor objetivo para
dejarlo fuera de servicio.
Fig. 8 Inundacin de paquetes con Slowris.
VII. RESULTADOS DE LAS PRUEBAS DE
PENTESTING
En primer lugar fue adecuada la eleccin del sistema operativo
Kali Linux para la implementacin del laboratorio de
pentesting, ya que viene implementado con diversas
herramientas que hacen ms fcil el anlisis de
vulnerabilidades, ya que permiti realizar cada uno de los
ataques de manera exitosa utilizando tcnicas de Hacking
tico mediante una metodologa probada para realizar pruebas
de pentesting. La ejecucin de cada una de las herramientas
utilizadas en las pruebas de intrusin se efectuaron en un
equipo de cmputo de caractersticas comunes, donde una de
las pruebas que demand mayor uso de recursos fue el ataque
de fuerza bruta.
El laboratorio que se uso podr ser usado en un futuro como
plataforma de pruebas y aprendizaje de Hacking tico sin
infringir las normas que regulan la actividad informtica, pues
las pruebas se realizan en un ambiente controlado y sin afectar
sistemas en produccin
Cabe resaltar que para cada una de las pruebas fue necesario
usar ms de una herramienta, script, exploit y payload para
cubrir cada una de las fases de la metodologa probada, todos
estos elementos usados estn embebidos en el sistema
operativo Kali Linux.
VIII. CONCLUSIONES
Se concluye que la prueba de pentesting es una herramienta
que permite probar las medidas de seguridad
informtica de una pgina web, mediante pruebas de intrusin
a pginas web. Durante el desarrollo de los diversos tipos de
ataques en el laboratorio de pentesting se pudo constatar lo
fcil que resulta ejecutar dichas pruebas si se cuenta con
herramientas para realizar ataques informticos y
si se sigue un orden ya escrito y probado, resulta factible
introducirse a sistemas que no cuenten con las medidas de
Universidad Catlica de Santa Mara. Benavente Yepez, Angles Perez. Pentesting y Evaluacin de vulnerabilidades 8

seguridad adecuadas, o que no han sido sometidos a

pruebas de intrusin para detectar sus debilidades, lo que
permite que usuarios maliciosos exploten las vulnerabilidades
existentes y pongan en riesgo los datos delicados
de cualquier organizacin. Es por ello importante que los
responsables de sistemas se entrenen realizando pruebas a los
sistemas web antes o despus de ser implementados y
una forma segura de entrenarse es en un entorno virtualizado
como el mostrado en este trabajo.

IX. REFERENCIAS

[1] C. Jimenez, Seguridad en redes y sistemas, tcnicas y

conceptos sobre hacking y pentesting, bachiller thesis,
Universidad Oberta de Catalunya, jun. 2016, p. 63-69.
[2] Bellante, Diego Hernn; Chanfreau, Hernn
David. Librera genrica de aspectos para tratar las
vulnerabilidades de seguridad ms crticas en aplicaciones
web., 2008, Tesis Doctoral. Facultad de Informtica.
[3] Loor Pilay, Anlisis y modelado de seguridades
utilizando pentesting para las aplicaciones web orientado
a las redes sociales del sistema promeinfo, doctoral
thesis, Universidad de Guayaquil, 2015, p. 31-34
[4] Zakarija, Ivona; BATO, Vedran; DOMI, Tomislav. A
Method for the Penetration Testing in IT Environment.
En Proceedings of The 17th World Multi-Conference on
Systemics, Cybernetics and Informatics: WMSCI 2013.
2013.
[5] Saucedo, Ana Laura Hernndez; Miranda, Jezreel Mejia.
Gua de ataques, vulnerabilidades, tcnicas y
herramientas para aplicaciones Web. ReCIBE, 2016, vol.
4, no 1.
[6] De la Quintanaillanes, Mauricio Mijail. Sql Inyection.,
Revista de Informacin, Tecnologa y Sociedad, 2013, p.
38.
[7] van der Loo, F. Comparison of penetration testing tools
for web applications, Doctoral dissertation, Masters
thesis, University of Radboud, Netherlands, 2011, p 9
[8] Soto Claros, Giovanna Marisela., Inyeccin de cdigo y
ataques al sitio web., Revista de Informacin, Tecnologa
y Sociedad, 2013, p. 46.
[9] F. Mendez, A. Aquino, A. Ronquillo Tcnicas de hacking
tico en un laboratorio de pentesting virtualizado, in
conf. I Congreso de informtica e innovacin Tecnologia,
At Ixtepec, Oaxaca oct. 2014, p. 3