CP1 SegAppWeb John Jimenez

Universidad Nacional Abierta y a Distancia – UNAD - Escuela de Ciencias Básicas, Tecnología e
Ingeniería – ECBTI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Aplicaciones Web Código: 233008
VULNERABILIDADES Y TIPOS DE ATAQUES DE LAS APLICACIONES WEB
Unidad 1 – Fase 2: Actividad Práctica
PRESENTADO POR:
John Andrés Jiménez Cano – 86081389
Grupo – 233008_8
PRESENTADO A:
ANIVAR NESTOR CHAVES – TUTOR
UNIVERSIDAS ABIERTA Y A DISTANCIA – UNAD
ESCUELA DE CIENCIAS BÁSICAS DE TECNOLOGÍA E INGENIERÍA
SEGURIDAD EN APLICACIONES WEB
MARZO 2019
BOGOTÁ
Informática
TABLA DE CONTENIDO
INTRODUCCION ..................................................................................................................................................3
OBJETIVOS ...........................................................................................................................................................6
OBJETIVO GENERAL .......................................................................................................................................6
OBJETIVOS ESPECÍFICOS ...............................................................................................................................6
1. ACTIVIDADES A DESARROLLAR ...........................................................................................................7
1.1. Descripción del proceso de instalación de las distribuciones y evidencias del mismo. Las distribuciones
deben tener como nombre de dominio el nombre y apellido del estudiante.........................................................7
1.2. Descripción del proceso de instalación del servidor Apache y de DVWA ............................................11
1.3. Evidencia de la exploración del servidor con herramientas de Kali Linux y los resultados obtenidos ..14
CONCLUSIONES ................................................................................................................................................17
BIBLIOGRAFIA ..................................................................................................................................................18
Informática
TABLA DE ILUSTRACIONES
Ilustración 1 Máquina Virtual Ubuntu......................................................................................................................7

Ilustración 2 Instalación Inicial Ubuntu ...................................................................................................................7
Ilustración 3 Instalación Mínima ..............................................................................................................................7
Ilustración 4 Instalación - Configuración de particiones ..........................................................................................7
Ilustración 5 Instalación - Particionado del Disco ....................................................................................................8
Ilustración 6 Instalación Selección Geográfica ........................................................................................................8
Ilustración 7 Instalación Ubuntu - Creación de Usuario ..........................................................................................8
Ilustración 8 Instalación Ubuntu - Copia de Archivos .............................................................................................8
Ilustración 9 Instalación Ubuntu - Instalación Terminada .......................................................................................9
Ilustración 10 Ingreso a Ubuntu ...............................................................................................................................9
Ilustración 11 Ubuntu - Escritorio Terminal ............................................................................................................9
Ilustración 12 Descarga de Kali Linux .....................................................................................................................9
Ilustración 13 Importación de Máquina Virtual Kali Linux .................................................................................. 10
Ilustración 14 Máquina virtual Importada ............................................................................................................. 10
Ilustración 15 Inicio de máquina virtual Kali Linux ............................................................................................. 10
Ilustración 16 Terminal en Kali Linux posterior cambio de nombre .................................................................... 10
Ilustración 17 Instalación de Apache Server ......................................................................................................... 11
Ilustración 18 Progreso de la instalación de Apache Server ................................................................................. 11
Ilustración 19 Comprobación de Apache Server ................................................................................................... 11
Ilustración 20 Instalación de DVWA ...................................................................................................................... 11
Ilustración 21 Clonación de página web DVWA .................................................................................................... 11
Ilustración 22 Comprobación de Clonación DVWA ............................................................................................... 12
Ilustración 23 Instalación de MySQL Server .......................................................................................................... 12
Ilustración 24 Comprobación Estado MySQL ........................................................................................................ 12
Ilustración 25 Instalación de PHP 7.2 .................................................................................................................... 12
Ilustración 26 Progreso de la Instalación de PHP .................................................................................................. 12
Ilustración 27 Modificación archivo info.php ........................................................................................................ 13
Informática
Ilustración 28 Verificación de PHP......................................................................................................................... 13

Ilustración 29 Verificación de DVWA..................................................................................................................... 13
Ilustración 30 Comandos de NMAP ....................................................................................................................... 14
Ilustración 31 Identificación del Sistema Operativo y el servicio del Puerto ....................................................... 14
Ilustración 32 Comando para buscar las vulnerabilidades del host ...................................................................... 14
Ilustración 33 Dmitry comando con argumento –i................................................................................................ 15
Ilustración 34 Dmitry comando con argumento –f .............................................................................................. 15
Ilustración 35Dmitry comando con argumento –p ............................................................................................... 15
Ilustración 36 Ejecución de máquinas virtuales en la misma instancia................................................................. 15
Informática
INTRODUCCION
La seguridad informática en aplicaciones web es muy importante en cualquier organización, teniendo en

cuenta que muchas de sus aplicaciones están en este tipo de entorno, no importa cuál sea, es muy común en estos
días ver aplicaciones sobre servidores Apache, servidores IIS, servidores TOMCAT entre otros. Y cada uno de
estos entornos de conexión web tiene sus pros y sus contras, pero a lo que todos son propensos es a las
vulnerabilidades que pueden tener entorno a la seguridad informática.
Es por esto, que, en esta como en muchas otras materias, es bueno colocarse en los pies del atacante para
verificar como pueden entrar a nuestro sistema. Como si se tratara de una trampa para medir su ataque –honeypot-
que nos dé luces en cómo funcionan estas acciones que llevan a cabo estos personajes que quieren vulnerar nuestras
aplicaciones para fines personales.
Este trabajo quiere mostrar una de las herramientas con las que se puede obtener tráfico de una aplicación
y medir los resultados del laboratorio, lo que se puede obtener a través de esta herramienta forense y como se
puede llevar a cabo un ataque de este tipo.
Informática
OBJETIVOS
OBJETIVO GENERAL
 Identificar diferentes componentes de un ataque a aplicaciones web como los protocolos que se
tienen, las vulnerabilidades que se pueden presentar en ellos y los tipos de ataque que se pueden
lanzar sobre ellos para obtener información.
OBJETIVOS ESPECÍFICOS
 Realizar la instalación de las diferentes versiones de Linux que se necesitan para realizar el
laboratorio.
 Describir el proceso de instalación del servidor apache y de DVWA
 Evidenciar la exploración del servidor Apache con herramientas de Kali Linux y los resultados
obtenidos.
Informática
1. ACTIVIDADES A DESARROLLAR
1.1. Descripción del proceso de instalación de las distribuciones y evidencias del mismo. Las
distribuciones deben tener como nombre de dominio el nombre y apellido del estudiante
Se realiza instalación mínima dado que no se van a

necesitar los otros programas para el laboratorio.
1.1.1. Instalación de Ubuntu en máquina virtual
Se hace instalación de Oracle® VirtualBox para la

instalación de las máquinas virtuales.
Ilustración 1 Máquina Virtual Ubuntu

Ilustración 3 Instalación Mínima
Se empieza la instalación de la distribución de
Se deja que Ubuntu haga la instalación por defecto
Ubuntu en la máquina indicada.
sin interactuar con las particiones.
Ilustración 2 Instalación Inicial Ubuntu Ilustración 4 Instalación - Configuración de particiones

Informática
Se acepta la instalación predeterminada de Ubuntu. Se crea un usuario con el nombre del equipo y una
clave para inicio de sesión.
Ilustración 5 Instalación - Particionado del Disco

Ilustración 7 Instalación Ubuntu - Creación de Usuario
Se escoge la ubicación donde nos encontramos para
la sincronización de la hora. Este proceso es automático, en él se está haciendo la
descompresión de archivos e instalación del
sistema.
Ilustración 6 Instalación Selección Geográfica
Ilustración 8 Instalación Ubuntu - Copia de Archivos

Informática
La instalación se completa y es necesario reiniciar el Abrimos una terminal para comprobar el nombre del
sistema y retirar el medio de instalación. equipo.
Ilustración 9 Instalación Ubuntu - Instalación Terminada Ilustración 11 Ubuntu - Escritorio Terminal
Después de reiniciado el equipo, se nos muestra el

usuario creado para ingresar la contraseña.
1.1.2. Instalación de Kali Linux en máquina
virtual
Se busca imagen de Kali Linux para VirtualBox y se

descarga.
Ilustración 10 Ingreso a Ubuntu
Ilustración 12 Descarga de Kali Linux

Informática
Se procede a realizar la importación de la máquina

virtual en la instalación de VirtualBox
Ilustración 15 Inicio de máquina virtual Kali Linux

Ilustración 13 Importación de Máquina Virtual Kali Linux
Abrimos una terminal para comprobar el nombre
del equipo en la máquina descargada de Internet,
Se verifica que la máquina virtual allá quedado como el nombre no coincide, se hace el cambio
importada y esté lista para ser iniciada. editando el archivo Hostname.
Ilustración 14 Máquina virtual Importada
Se realiza el encendido de la máquina virtual

Kali Linux para verificar su funcionamiento.
Ilustración 16 Terminal en Kali Linux posterior cambio de
nombre
Informática
1.2. Descripción del proceso de instalación

del servidor Apache y de DVWA
Primariamente se hace la instalación del apache

a través del comando apt install apache2 en la
máquina con Ubuntu.
Ilustración 19 Comprobación de Apache Server
Ilustración 17 Instalación de Apache Server Instalación de DVWA a través del comando apt
Se deja que corra el comando el cuál hace la install git
instalación de los archivos respectivos.
Ilustración 20 Instalación de DVWA
Se hace clonación de la página de DVWA al path

/var/www/html
Ilustración 21 Clonación de página web DVWA
Ilustración 18 Progreso de la instalación de Apache Server

Para corroborar la clonación de la página se
Se puede hacer la prueba de la instalación del escribe en el navegador la siguiente dirección
apache server a través del navegador web con la 127.0.0.1/DVWA
dirección 127.0.0.1/ donde se visualiza la
siguiente imagen.
Informática
Para la configuración de MySQL se hace la

configuración de la sigiuente manera.
Se crea la la base de datos con el siguiente comando:
CREATE DATABASE dvwadb,
Se crea un usuario con contraseña:
CREATE USER ‘dvwausr’@’127.0.0.1’
IDENTIFIED BY ‘dvwa@123’
Se le conceden permisos al usuario para la base de
datos creada:
GRANT PRIVILEGES ON dvwabd.* TO
‘dvwausr’@’localhost’ IDENTIFIED BY
‘dvwa@123’
Ilustración 22 Comprobación de Clonación DVWA
Con esto se completa la creación de una base de datos
Luego se hace la instalación de mysql server a través en MySQL para las respectivas pruebas.
del comando apt install mysql-server
Instalación de php7 con el comando apt install php
Ilustración 23 Instalación de MySQL Server

Ilustración 25 Instalación de PHP 7.2
Ilustración 24 Comprobación Estado MySQL Ilustración 26 Progreso de la Instalación de PHP

Informática
Se edita el archivo info.php agregando la siguiente También se configura el archivo

línea <?php phpinfo();?> para que se visualice la /etc/php5/apache2/php.ini en donde se configura
instalación y funcionamiento del mismo en el un atributo
navegador.
 Enable Allow_url_fopen = On
 Enable Allow_url_include = On
Por último, se hace la instalación de la aplicación

Iceweasel a través del comando apt install
iceweasel
Ilustración 27 Modificación archivo info.php
Se visualiza por medio del navegador en la

dirección 127.0.0.1/info.php el funcionamiento
de la aplicación.
Ilustración 29 Verificación de DVWA
Ilustración 28 Verificación de PHP
Además, se realizan algunas configuraciones

extras como la configuración del archivo
/var/www/html/dvwa/config/config.inc.php.dist
donde se edita la base de datos, el usuario de
conexión, la clave y el servidor donde va a
quedar la aplicación DVWA.
Informática
1.3. Evidencia de la exploración del servidor Utilizando el comando nmap –A –vv [target]
con herramientas de Kali Linux y los
resultados obtenidos
NMAP es una herramienta de escaneo de red y

detección de host para recopilar información
sobre cualquier red.
Entre los comandos más comunes que se pueden
usar están los siguientes:
-sS = escaneo TCP SYN (o escaneo sigiloso)
-P0 = no se envian pings ICMP
-sV = detecta las versiones
-O = se intenta identificar el Sistema Operativo

Ilustración 31 Identificación del Sistema Operativo y el servicio
Otras opciones: del Puerto
-A = habilita OS fingerprinting y detección de versión
Otra opción que nos permite el NMAP es la
-v = usar dos veces -v para obtener mas detalles opción de verificar las vulnerabilidades
Los comandos se pueden ejecutar al tiempo
como en el siguiente ejemplo en que se ejecutó
el comando:
nmap -sS -P0 -sV -O 10.0.0.2
Ilustración 32 Comando para buscar las vulnerabilidades del

host
Otras de las herramientas que trae consigo el

Kali Linux es Dmitry, la cual permite obtener
información desde un Host.
Ilustración 30 Comandos de NMAP

Informática
Comando Dmitry para realizar una búsqueda whois Comando Dmitry para enlistar los puertos TCP
en el equipo 10.0.0.2 que tiene el host
Ilustración 33 Dmitry comando con argumento –i
Ilustración 35Dmitry comando con argumento –p
Comando dmitry para llevar a cabo un escaneo Sin embargo, al realizar esto, la mayoría de los
de los puertos TCP abiertos en el host donde se resultados con Dmitry fueron muy similares, por
identifiquen los puertos filtrados (opción útil lo que he de suponer que la herramienta va más
cuando existe un firewall instalado en el host). encaminada a Host ya publicados en Internet.
En la última imagen se evidencian las dos

máquinas virtuales en ejecución al mismo
tiempo.
Ilustración 36 Ejecución de máquinas virtuales en la misma

instancia
Ilustración 34 Dmitry comando con argumento –f
Informática
Existen herramientas muy poderosas para comprobación de puertos y recolección de información

a través de simples comandos. Tal vez, Kali Linux sea una de las distribuciones más completas que se
tienen para realizar este tipo de labores. Herramientas como Nmap y Dmitry utilizadas durante este
laboratorio, nos permiten visualizar como un atacante podría obtener información útil de un host dentro
de una red, descubriendo sus puertos, su sistema operativo, sus servicios prestados entre otros. Así
mismo, también se podrían identificar listas de correo electrónico, conocer el propietario de un nombre
de dominio o la dirección IP de esta en Internet.
En el laboratorio, fue mucho más efectivo la herramienta Nmap que la de Dmitry, la primer está
enfocada en la búsqueda en red de la información que le puede brindar un host al hacer diferentes
peticiones, más allá que la segunda –Dmitry– está más orientada a un host ya publicado en internet, y
aunque para el caso nuestro, poseíamos un servidor apache, este no tenía un dominio registrado en un
servicio DNS que nos pudiera colocar en evidencia mucha información. Ciertamente, la información
recolectada fue mucho más fructífera y fácil de interpretar con la primera herramienta que con la segunda.
El ejercicio fue muy productivo, y la herramienta Nmap por ejemplo, dilucido el puerto que tenía
la máquina Linux abierta, el servicio que estaba prestando por dicho puerto, y hasta las vulnerabilidades
que se podían ejecutar por medio de ejecución de inyección de Script sobre el mismo.
Informática
CONCLUSIONES
El ejercicio realizado, permitió conocer la facilidad que puede tener un atacante con ciertos
conocimientos técnicos para obtener información sobre un host. Además de la creación de máquinas
virtuales con sistema operativo Linux.
La configuración de un servidor apache, con un servidor Mysql y un DVWA en un servidor,
ayuda bastante para verificar las diferentes formas en que un servidor puede quedar expuesto para
entregar información a otros.
Informática
BIBLIOGRAFIA
sinxLoud, How to Install DVWA Into Your Linux Distribution (2018), Recuperado de:
https://medium.com/datadriveninvestor/setup-install-dvwa-into-your-linux-distribution-d76dc3b80357
Kali Linux Downloads – Virtual Images (2019), Recuperado de: https://www.offensive-security.com/kali-

linux-vm-vmware-virtualbox-image-download/
Obtener información con NMAP (2011); christmo’s Blog, Recuperado de:

https://christmo99.wordpress.com/2011/02/05/obtener-informacion-con-nmap/
Cómo usar Nmap: Tutorial para principiantes (2018), Recuperado de: https://esgeeks.com/como-usar-
nmap-con-comandos/

CP1 SegAppWeb John Jimenez

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

CP1 SegAppWeb John Jimenez

Загружено:

Авторское право:

Доступные форматы

Universidad Nacional Abierta y a Distancia – UNAD - Escuela de Ciencias Básicas, Tecnología e

VULNERABILIDADES Y TIPOS DE ATAQUES DE LAS APLICACIONES WEB

Unidad 1 – Fase 2: Actividad Práctica

John Andrés Jiménez Cano – 86081389

ANIVAR NESTOR CHAVES – TUTOR

UNIVERSIDAS ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS DE TECNOLOGÍA E INGENIERÍA

SEGURIDAD EN APLICACIONES WEB

OBJETIVO GENERAL .......................................................................................................................................6

OBJETIVOS ESPECÍFICOS ...............................................................................................................................6

1. ACTIVIDADES A DESARROLLAR ...........................................................................................................7

Ilustración 1 Máquina Virtual Ubuntu......................................................................................................................7

Ilustración 28 Verificación de PHP......................................................................................................................... 13

La seguridad informática en aplicaciones web es muy importante en cualquier organización, teniendo en

 Describir el proceso de instalación del servidor apache y de DVWA

Se realiza instalación mínima dado que no se van a

Se hace instalación de Oracle® VirtualBox para la

Ilustración 1 Máquina Virtual Ubuntu

Ilustración 2 Instalación Inicial Ubuntu Ilustración 4 Instalación - Configuración de particiones

Ilustración 5 Instalación - Particionado del Disco

Ilustración 6 Instalación Selección Geográfica

Ilustración 8 Instalación Ubuntu - Copia de Archivos

Ilustración 9 Instalación Ubuntu - Instalación Terminada Ilustración 11 Ubuntu - Escritorio Terminal

Después de reiniciado el equipo, se nos muestra el

Se busca imagen de Kali Linux para VirtualBox y se

Ilustración 10 Ingreso a Ubuntu

Ilustración 12 Descarga de Kali Linux

Se procede a realizar la importación de la máquina

Ilustración 15 Inicio de máquina virtual Kali Linux

Ilustración 14 Máquina virtual Importada

Se realiza el encendido de la máquina virtual

1.2. Descripción del proceso de instalación

Primariamente se hace la instalación del apache

Ilustración 19 Comprobación de Apache Server

Ilustración 20 Instalación de DVWA

Se hace clonación de la página de DVWA al path

Ilustración 21 Clonación de página web DVWA

Ilustración 18 Progreso de la instalación de Apache Server

Para la configuración de MySQL se hace la

Ilustración 23 Instalación de MySQL Server

Ilustración 24 Comprobación Estado MySQL Ilustración 26 Progreso de la Instalación de PHP

Se edita el archivo info.php agregando la siguiente También se configura el archivo

Por último, se hace la instalación de la aplicación

Ilustración 27 Modificación archivo info.php

Se visualiza por medio del navegador en la

Ilustración 29 Verificación de DVWA

Ilustración 28 Verificación de PHP

Además, se realizan algunas configuraciones

NMAP es una herramienta de escaneo de red y

-P0 = no se envian pings ICMP

-sV = detecta las versiones

-O = se intenta identificar el Sistema Operativo

Ilustración 32 Comando para buscar las vulnerabilidades del

Otras de las herramientas que trae consigo el

Ilustración 30 Comandos de NMAP

Ilustración 33 Dmitry comando con argumento –i

Ilustración 35Dmitry comando con argumento –p

En la última imagen se evidencian las dos

Ilustración 36 Ejecución de máquinas virtuales en la misma

Existen herramientas muy poderosas para comprobación de puertos y recolección de información

Kali Linux Downloads – Virtual Images (2019), Recuperado de: https://www.offensive-security.com/kali-

Obtener información con NMAP (2011); christmo’s Blog, Recuperado de:

Вам также может понравиться