El documento habla sobre seguridad en aplicaciones web y realización de prácticas de SQL Injection. Explica cómo usar una imagen virtual con aplicaciones vulnerables y herramientas de pentesting como Burp Suite, sqlmap y webScarab. Luego detalla algunas prácticas de SQLi en Webgoat donde se muestra cómo explotar inyecciones y cómo prevenirlas usando consultas parametrizadas.

1. SEGURIDAD Y APLICACIONES WEB Licencia Creative Commons Esta obra esta distribuida bajo una licencia de: Reconocimiento (Attribution): En cualquier explotación de la obra autorizada por la licencia hará falta reconocer la autoría.

2. No Comercial (Non commercial): La explotación de la obra queda limitada a usos no comerciales.

3. Compartir Igual (Share alike): La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la misma licencia al ser divulgadas.

4. SEGURIDAD Y APLICACIONES WEB Practica SQLi Práctica SQL Injection

5. SEGURIDAD Y APLICACIONES WEB Practica SQLi Para la realización de las prácticas vamos a utilizar una suite de aprendizaje que consiste en un una imagen virtualbox que contiene instaladas varias aplicaciones vulnerables y algunas herramientas para facilitar la realización de ataques sobre ellas. Esta imagen se llama Web Security Dojo. Ha sido preparada por Maven Security y se puede encontrar en: http://www.mavensecurity.com/web_security_dojo/

6. SEGURIDAD Y APLICACIONES WEB Practica SQLi En esta imagen podremos encontrar como aplicaciones vulnerables: OWASP's Webgoat

7. Google's gruyere

8. Damn Vulnerable Web App

9. Hacme Casino

10. OWASP Insecure WebApp

11. W3af's test website

12. SEGURIDAD Y APLICACIONES WEB Practica SQLi Burp Suite

13. w3af

14. sqlmap

15. arachni

16. metasploit

17. Zed Attack Proxy

18. OWASP Skavenger

19. OWASP Dirbuster

20. Paros Webscarab

21. Ratproxy

22. skipfish

23. websecurify

24. davtest

25. J-Baah

26. JBroFuzz

27. Watobo

28. RATS

29. helpful Firefox add-ons Herramientas:

30. SEGURIDAD Y APLICACIONES WEB Practica SQLi A continuación iremos realizando diferentes prácticas donde veremos diferentes herramientas y ataques que se usan para descubrir y explotar vulnerabilidades en aplicaciones web y sistemas. En cada una de las prácticas se explicarán brevemente las herramientas que usamos para facilitar la explotación de cada vulnerabilidad.

31. SEGURIDAD Y APLICACIONES WEB Practica SQLi Webgoat es una aplicación ofrecida por OWASP y es una aplicación diseñada para el aprendizaje en pentesting con diversas vulnerabilidades cuya explotación es guiada por la aplicación.

32. SEGURIDAD Y APLICACIONES WEB Practica SQLi Para acceder: Applications->Targets->Webgoat Start

33. Se abrirá una ventana de firefox con la página inicial cargada.

34. Usuario: guest

35. Contraseña:guest

36. SEGURIDAD Y APLICACIONES WEB Practica SQLi

37. SEGURIDAD Y APLICACIONES WEB Practica SQLi

38. SEGURIDAD Y APLICACIONES WEB Practica SQLi Para aumentar la comodidad en la realización de las pruebas usaremos también webScarab

39. WebScarab es otra aplicación de Owasp y es una aplicación para facilitar las auditorias web. Funciona como un proxy que intercepta toda la comunicación entre el navegador web y el servidor permitiéndonos entre otras cosas: editar los parámetros get y post que se intercambian.

40. SEGURIDAD Y APLICACIONES WEB Practica SQLi

41. SEGURIDAD Y APLICACIONES WEB Practica SQLi

42. SEGURIDAD Y APLICACIONES WEB Practica SQLi Para usar webScarab: Arrancamos webScarab

43. Configuramos el navegador para que apunte como proxy a webScarab

44. IP: 127.0.0.1

45. Puerto: 8008

46. Configuramos webScarab para que intercepte las peticiones get y post

47. SEGURIDAD Y APLICACIONES WEB Practica SQLi

48. SEGURIDAD Y APLICACIONES WEB Practica SQLi

49. SEGURIDAD Y APLICACIONES WEB Practica SQLi SQL Injection Vamos a realizar algunas de las lecciones del apartado “Injection Flaws”

50. Objetivo: Realizar ataques SQLi

51. Entender como funcionan

52. Entender como prevenirlos

53. SEGURIDAD Y APLICACIONES WEB Practica SQLi Práctica 1:El objetivo es obtener todos los registros de la tabla que consulta la aplicación para realizar su trabajo legitimo. En esta lección se nos indica la query que se esta ejecutando por debajo.

54. Tendremos que: Interceptar la petición con Webscarab

55. Modificar el valor de tal forma que la query que se ejecuta sobre la BD devuelva todos los registros

56. SEGURIDAD Y APLICACIONES WEB Practica SQLi

57. SEGURIDAD Y APLICACIONES WEB Practica SQLi Pulsamos en “go” y nos saltará una ventana de websacarab con la petición http que se realiza al servidor.

58. Nos aparecerán todos los campos que se intercambian y podremos modificarlos pulsando sobre ellos.

59. Una vez modificados pulsaremos en “Accept Changes” para enviar la solicitud modificada al servidor

60. La aplicación devolverá el resultado de la operación