Вы находитесь на странице: 1из 3

Asignatura Datos del alumno Fecha

Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Actividades

Trabajo: Test de penetracin a la aplicacin BADSTORE


utilizando un Scanner de vulnerabilidades de aplicaciones web

Pautas de elaboracin

Descarga:
ORACLE virtualbox desde https://www.virtualbox.org/ e instala ZAP desde:
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Descarga la mquina virtual con la aplicacin BADSTORE, desde:


https://www.dropbox.com/sh/7ewzuosszqslkok/AADL6CSiXkoFPWdmfnwjHDLYa
?dl=0

Importa el servicio virtualizado badstore.ova desde ORACLE virtualbox.


En configuracin - almacenamiento, asocia la imagen BadStore-212.iso en el
controlador IDE (cdrom) y configura la mquina virtual para que arranque primero
desde el cdrom.

Crea una red virtualbox HOST ONLY en VIRTUALBOX --> Archivo- preferencias- red-
redes solo anfitrin- aadir una red- habilitar DCHP y configurar de la siguiente forma:

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Configura el adaptador der red solo-anfitrin con las siguientes direcciones:

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)


Asignatura Datos del alumno Fecha
Seguridad en Apellidos:
Aplicaciones Online
y Bases de Datos Nombre:

Comprobar en la configuracin de la mquina virtual BADSTORE --> RED que el


ADAPTADOR 1 est habilitado y conectado a ADAPTADOR SOLO ANFITRION.

Arranca la mquina virtual y ejecuta ifconfig -a para comprobar la direccin IP


asociada al dispositivo eth0.

Incluir en el fichero HOST de la mquina anfitriona la entrada correspondiente a la


direccin IP de ETH0. Por ejemplo si la direccin IP obtenida por DHCP para el
dispositivo ETH0 es 192.168.56.110:
192.168.56.110 www.badstore.net

Realiza el test de penetracin de la aplicacin BADSTORE con el Scanner de


vulnerabilidades ZAP atacando al nombre asociado a la direccin del dispositivo
eth0 obtenida en el paso anterior: http://www. badstore.net/cgi-bin/badstore.cgi

Audita manualmente al menos tres vulnerabilidades para comprobar la veracidad de


las alertas por parte de ZAP.

Se podr disponer de un procedimiento de test de penetracin con ZAP disponible


en vuestra carpeta personal.

Debes confeccionar una memoria explicando el proceso y los resultados obtenidos


adjuntando el informe de la herramienta ZAP.

Extensin mxima: 15 pginas (Georgia 11 e interlineado 1,5).

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)