Академический Документы
Профессиональный Документы
Культура Документы
Ingeniería – ECBTI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Aplicaciones Web Código: 233008
PRESENTADO POR:
Grupo – 233008_8
PRESENTADO A:
MARZO 2019
BOGOTÁ
Universidad Nacional Abierta y a Distancia – UNAD - Escuela de Ciencias Básicas, Tecnología e
Ingeniería – ECBTI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Aplicaciones Web Código: 233008
TABLA DE CONTENIDO
INTRODUCCION ..................................................................................................................................................3
OBJETIVOS ...........................................................................................................................................................6
1.1. Descripción del proceso de instalación de las distribuciones y evidencias del mismo. Las distribuciones
deben tener como nombre de dominio el nombre y apellido del estudiante.........................................................7
1.2. Descripción del proceso de instalación del servidor Apache y de DVWA ............................................11
1.3. Evidencia de la exploración del servidor con herramientas de Kali Linux y los resultados obtenidos ..14
CONCLUSIONES ................................................................................................................................................17
BIBLIOGRAFIA ..................................................................................................................................................18
Universidad Nacional Abierta y a Distancia – UNAD - Escuela de Ciencias Básicas, Tecnología e
Ingeniería – ECBTI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Aplicaciones Web Código: 233008
TABLA DE ILUSTRACIONES
INTRODUCCION
Es por esto, que, en esta como en muchas otras materias, es bueno colocarse en los pies del atacante para
verificar como pueden entrar a nuestro sistema. Como si se tratara de una trampa para medir su ataque –honeypot-
que nos dé luces en cómo funcionan estas acciones que llevan a cabo estos personajes que quieren vulnerar nuestras
aplicaciones para fines personales.
Este trabajo quiere mostrar una de las herramientas con las que se puede obtener tráfico de una aplicación
y medir los resultados del laboratorio, lo que se puede obtener a través de esta herramienta forense y como se
puede llevar a cabo un ataque de este tipo.
Universidad Nacional Abierta y a Distancia – UNAD - Escuela de Ciencias Básicas, Tecnología e
Ingeniería – ECBTI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Aplicaciones Web Código: 233008
OBJETIVOS
OBJETIVO GENERAL
Identificar diferentes componentes de un ataque a aplicaciones web como los protocolos que se
tienen, las vulnerabilidades que se pueden presentar en ellos y los tipos de ataque que se pueden
lanzar sobre ellos para obtener información.
OBJETIVOS ESPECÍFICOS
Realizar la instalación de las diferentes versiones de Linux que se necesitan para realizar el
laboratorio.
Evidenciar la exploración del servidor Apache con herramientas de Kali Linux y los resultados
obtenidos.
Universidad Nacional Abierta y a Distancia – UNAD - Escuela de Ciencias Básicas, Tecnología e
Ingeniería – ECBTI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Aplicaciones Web Código: 233008
1. ACTIVIDADES A DESARROLLAR
1.1. Descripción del proceso de instalación de las distribuciones y evidencias del mismo. Las
distribuciones deben tener como nombre de dominio el nombre y apellido del estudiante
Se acepta la instalación predeterminada de Ubuntu. Se crea un usuario con el nombre del equipo y una
clave para inicio de sesión.
La instalación se completa y es necesario reiniciar el Abrimos una terminal para comprobar el nombre del
sistema y retirar el medio de instalación. equipo.
Ilustración 17 Instalación de Apache Server Instalación de DVWA a través del comando apt
Se deja que corra el comando el cuál hace la install git
instalación de los archivos respectivos.
1.3. Evidencia de la exploración del servidor Utilizando el comando nmap –A –vv [target]
con herramientas de Kali Linux y los
resultados obtenidos
Comando Dmitry para realizar una búsqueda whois Comando Dmitry para enlistar los puertos TCP
en el equipo 10.0.0.2 que tiene el host
Comando dmitry para llevar a cabo un escaneo Sin embargo, al realizar esto, la mayoría de los
de los puertos TCP abiertos en el host donde se resultados con Dmitry fueron muy similares, por
identifiquen los puertos filtrados (opción útil lo que he de suponer que la herramienta va más
cuando existe un firewall instalado en el host). encaminada a Host ya publicados en Internet.
En el laboratorio, fue mucho más efectivo la herramienta Nmap que la de Dmitry, la primer está
enfocada en la búsqueda en red de la información que le puede brindar un host al hacer diferentes
peticiones, más allá que la segunda –Dmitry– está más orientada a un host ya publicado en internet, y
aunque para el caso nuestro, poseíamos un servidor apache, este no tenía un dominio registrado en un
servicio DNS que nos pudiera colocar en evidencia mucha información. Ciertamente, la información
recolectada fue mucho más fructífera y fácil de interpretar con la primera herramienta que con la segunda.
El ejercicio fue muy productivo, y la herramienta Nmap por ejemplo, dilucido el puerto que tenía
la máquina Linux abierta, el servicio que estaba prestando por dicho puerto, y hasta las vulnerabilidades
que se podían ejecutar por medio de ejecución de inyección de Script sobre el mismo.
Universidad Nacional Abierta y a Distancia – UNAD - Escuela de Ciencias Básicas, Tecnología e
Ingeniería – ECBTI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Aplicaciones Web Código: 233008
CONCLUSIONES
El ejercicio realizado, permitió conocer la facilidad que puede tener un atacante con ciertos
conocimientos técnicos para obtener información sobre un host. Además de la creación de máquinas
virtuales con sistema operativo Linux.
La configuración de un servidor apache, con un servidor Mysql y un DVWA en un servidor,
ayuda bastante para verificar las diferentes formas en que un servidor puede quedar expuesto para
entregar información a otros.
Universidad Nacional Abierta y a Distancia – UNAD - Escuela de Ciencias Básicas, Tecnología e
Ingeniería – ECBTI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Programa: Especialización en Seguridad
Informática
Curso: Seguridad en Aplicaciones Web Código: 233008
BIBLIOGRAFIA
sinxLoud, How to Install DVWA Into Your Linux Distribution (2018), Recuperado de:
https://medium.com/datadriveninvestor/setup-install-dvwa-into-your-linux-distribution-d76dc3b80357
Cómo usar Nmap: Tutorial para principiantes (2018), Recuperado de: https://esgeeks.com/como-usar-
nmap-con-comandos/