SEGURIDAD EN APLICACIONES WEB

EDGAR FERNANDO ARAQUE OROZCO

ANIVAR NESTOR CHAVES

Tutor Seguridad En Aplicaciones Web

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESPECIALIZACION SEGURIDAD INFORMATICA
OCTUBRE 2017
 INTRODUCCION

Se plantea una solucin a la actividad propuesta por el tutor en cuanto a nuestro conocimiento
previo en la seguridad en aplicacin web, teniendo como temas base las herramientas
XAMPP, DVWA y Kali Linux, como fuente principal en los inicios de estudio en la
seguridad de aplicaciones web. Utilizar una herramienta de mquina virtual (por ejemplo
VirtualBox) para instalar dos distribuciones de Linux, la primera distribucin ser
inicialmente deban pero por fallas se pas a Ubuntu server, la segunda ser Kali Linux.

En la primera mquina virtual se puso en funcionamiento un servidor Apache y en este instal

la aplicacin DVWA (Damn Vulnerable Web Application), para lo cual se instal los
paquetes requeridos como Apache, PHP y MySQLtodo contenidos en la herramienta que los
integra como XAMP.

Una vez en funcionamiento el servidor y la aplicacin DVWA, se realizaron tres ataques de

diferente tipo desde Kali Linux a DVWA, haciendo uso de las herramientas que Kali Linux
ofrece.
 Paso 1 : Descripcin del proceso de instalacin de las distribuciones y
evidencias del mismo.

Procedo a descargar la imagen ISO de la pgina de Linux y escojo versin 9.1

de 32 bits.

Fig. 2. Link de descarga deban 9.1

Fuente: https://cdimage.debian.org/debian-cd/current/i386/iso-dvd/

Una vez descargada la imagen con un peso de casi 4 Giga, se precede a

instalar en la mquina virtual y a configurar la mquina virtual segn los
requerimientos solicitados en la actividad.

Fig. 3. Configuracin nombre de la mquina virtual

Fuente: el autor.
Configuro el nombre de la maquina con las iniciacles de mi nombre y mi apellido.
Seguridamente configuro la cantidad de memoria a dedicar a la maquina virtual.

Fig. 4. Configuracin tamao de Memoria

Fuente: el autor.

Luego configuro el tipo de disco duro con el que va a trabajar mi mquina virtual.
En mi caso con una imagen que fue la que descargue de la pgina de deban.

Fig. 5. Configuracin disco duro imagen

Fuente: el autor.

Defino el tamao del disco duro, en mi caso lo de deje para que le sistema de
acuerdo a lo que mis aplicaciones sobre Linux soliciten se agrande el tamao
(dinmico).
 Fig. 6. Configuracin disco duro
Fuente: el autor.

Defino el tamao inicial del disco duro de la maquina virtual.

Fig. 7. Configuracin disco duro

Fuente: el autor.

Detalles dela instalacion, de la maquina virtual, aun si configurar.

 Fig. 8. Panel de configuracin
Fuente: el autor.

Selecciono la imagen descargada de debian como mi disco de inicio.

Fig. 9. Configuracin de disco de inicio

Fuente: el autor.

Configuro la cantidad de memoria RAM a dedicar al sistema operativo

virtualizado.

Fig. 10. Configuracin de RAM

 Fuente: el autor.

Configuro la imagen a virtualizar .

Fig. 11. Configuracin de imagen virtual izada

Fuente: el autor.

Configuracion del adaptador de red en modo NAT

Fig. 12. Configuracin de adaptador de red

Fuente: el autor.

Me sali el siguiente Fallo, al abrir una sesin para la mquina virtual

VT-x is disabled in the BIOS for all CPU modes
(VERR_VMX_MSR_ALL_VMX_DISABLED).
Cdigo Resultado: E_FAIL (0x80004005)
Componente: ConsoleWrap
Interfaz: IConsole {872da645-4a9b-1727-bee2-5585105b9eed}
Solucin: bajar la RAM asignada a la mquina virtual. Corre con menos de 3 gigas
de RAM
Procedo a hacer la instalacin grafica de deban. Pantallazo con la hora y fecha de
instalacin.

Fig. 13. Verificacin de hora de instalacin

Fuente: el autor.

Configuracion del idioma de la instalacion.

Fig. 14. Configuracin de lenguaje

Fuente: el autor.

Configuracin del pas donde se est haciendo la instalacin para gestionar los
servidores en una pestaa ms adelante.
 Fig. 15. Configuracin de ubicacin.
Fuente: el autor.

Del mismo modo se configuro el teclado latinoamericano y se procedi a

configurar las cuentas de usuario y las contraseas de las mismas.

Fig. 16. Configuracin de usuario

Fuente: el autor.
 Fig. 17. Configuracin de contrasea
Fuente: el autor.

Se continu con el particionado de los discos duros para la instalccion en la

maquina virtual y se realizo con metodo guiado.

Fig. 18. Mtodo de Particionado de discos.

Fuente: el autor.
 Fig. 19. Particionado de discos.
Fuente: el autor.

Por ser mi primera instalacin de deban proced con la instalacin para

principiantes.

Fig. 20. Particionado de discos.

Fuente: el autor.
 Fig. 21. Particionado de discos.
Fuente: el autor.

Se guardarn los cambios en los discos particionados.

Fig. 22. Particionado de discos.

Fuente: el autor.
 Muestra de la continuidad en el proceso de instalacion con la hora

Fig. 23. Validacin de hora y fecha de instalacin.

Fuente: el autor.

Se configuro el gestor de paquetes por defecto, no se analizo ningun cd o DVD

adicional.

Fig. 24. Configuracin del gestor de paquetes

Fuente: el autor.

Se configuro la replica de red para colombia.

 Fig. 25. Configuracin del gestor de paquetes
Fuente: el autor.

Se escogio la replica de debian de red dedeb.debian.org y no se configuro ningun

proxy por n poseerlo en una red domestica.

Fig. 26. Configuracin del gestor de paquetes

Fuente: el autor.

Se instalarn alguna versiones predeterminadas de programas para debian . En

esto debido a las varias selcciones se demoro un poco mas de los esperado.
 Fig. 27. Instalacin de las versiones con programas predeterminados
Fuente: el autor.

Se configuro el arranque del GRUB en el disco duro asignado virtualmete para

gestionar el arranque d ela maquina virtual en debian.

Fig. 28. Instalacin del Gestor de arranque

Fuente: el autor.
 Fig. 29. Seleccin particin boot
Fuente: el autor.

Se completo la instalacion del debian en la maquina virtual.

Fig. 30. Finalizacin de la instalacin deban

Fuente: el autor.
 Fig. 31. Reinicio del sistema
Fuente: el autor.

Luego de reiniciar el sistema automaticamente aparecio la ventana de acceso a

debian

Fig. 32. Acceso a sistema operativo virtualizado

Fuente: el autor.

Me dio acceso con el usuario creado por mi.

Fig. 33. Acceso a sistema operativo virtualizado
Fuente: el autor.
Se verifico el acceso al sistema operativo virtualizado.

Fig. 34. sistema operativo virtualizado

Fuente: el autor.
Proceso de instalacin de kali Linux en la maquina virtual. Con Virtualbox
Paso 2. Descripcin del proceso de instalacin del servidor Apache y de DVWA.

Debido a fallas en la imagen descargada del deban (no me permita actualizar las
bases de datos , ni el php) proced a descargar otra imagen pero de ubuntu server
y ejecutarla con interfaz kDE.
 Proceso de instalacin del XAMPP

Descarga del XAMMP para Linux, instale deban de 32 bits y tuve que bajar la otra
distribucin de 64 bits para poder correr el XAMPP
Descarga del DVWA para Linux ubuntu server.
Ejecucin en el localhost
 Logueo en la aplicacin

Acceso desde kali a el servidor web de Ubuntu

Ajuste de la lista de payloads_ en este caso los que se conocen por defecto

ajuste del grep para las banderas

 ajuste del payload 2d parte

ajuste del target en este caso el servidor ubuntu

Configuracin del proxy para captura de paquetes

Configuracin por defecto
 Ingreso de una contrasea invalida para la captura de sesin

Intercepcin de sesin

Para el primer ataque se utilizara burpsuite_ ser un ataque de fuerza bruta

Preparados para dar start
 Resultado la contrasea de ingreso por defecto

Se creara un proyecto temporal

Se enva lo capturado al intruder para preparar el ataque

 Ataque 2

Cambio de color a travs de etiquetas html

 ejecucin de un script bsico javascript para mostrar una alerta.

Estamos desde la maquina kali, para testear un ataque xss reflected en nivel bajo
y medio, en un input de texto de un formulario
Nuevamente el input del cdigo afecta al comportamiento de la web

Resultado del script ejecutado

 Resultado del script

Script para la cookie de la sesin

 CONCLUSIONES

En el inicio del estudio y prctica de la seguridad en aplicaciones web debemos

afianzar nuestro conocimiento sobre el estudio previo realizado por los grandes
pioneros en la seguridad, los cuales han venido dejando un legado y una gran
contribucin en las comunidades de documentacin, desarrollo e investigacin de
nuevos esquemas de seguridad basados en la experiencia, la experimentacin y as
mismo el estudio de nuevas vulnerabilidades que se dan por los innumerables nuevos
desarrollos que nos ha trado la tecnologa.
Herramientas como XAMPP, DVWA y las distribuciones de Kali Linux entre otras
permiten estudiar y mejorar en comunidad la seguridad de las aplicaciones web que
en nuestro trabajo estn.