Asignatura Datos del alumno Fecha

Seguridad en sistemas, Apellidos:

aplicaciones y el big data Nombre:

Test de penetración a la aplicación web Badstore

utilizando una herramienta de análisis dinámico

Objetivos

 Vas a aprender a encontrar vulnerabilidades de seguridad en una aplicación web.

 Vas a explotar vulnerabilidades de seguridad en una aplicación web.
 Vas a aprender a utilizar una herramienta de análisis dinámico DAST en
aplicaciones web a través de un procedimiento por fases.

Pautas de elaboración

Realizarás de un test de penetración a la aplicación web Badstore.

Descarga

 ORACLE Virtualbox
 Instala OWASP ZAP descargando desde https://www.zaproxy.org/download/
 La máquina virtual con la aplicación Badstore
 Importa el servicio virtualizado badstore.ova desde ORACLE virtualbox.
 En configuración - almacenamiento, asocia la imagen BadStore-212.iso en el
controlador IDE (cdrom) y configura la máquina virtual para que arranque
primero desde el cdrom.
© Universidad Internacional de La Rioja (UNIR)

1
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

Figura 1. Ejemplo 1 configuración. Fuente: elaboración propia.

 Crea una red virtualbox HOST ONLY en VIRTUALBOX (Archivo- preferencias- red-
redes solo anfitrión- añadir una red- habilitar DCHP) según versión y configurar
de la siguiente forma:

Figura 2. Ejemplo 2 configuración. Fuente: elaboración propia.

 Configura el adaptador de red solo anfitrión con las siguientes direcciones:

© Universidad Internacional de La Rioja (UNIR)

2
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

Figura 3. Ejemplo 3 configuración. Fuente: elaboración propia.

Figura 4. Ejemplo 4 configuración. Fuente: elaboración propia.

 Comprobar
© Universidad Internacional en la
de La Rioja (UNIR) configuración de la máquina virtual Badstore: red que el
adaptador 1 está habilitado y conectado al adaptador solo anfitrión.

3
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

Figura 5. Ejemplo 5 configuración. Fuente: elaboración propia.

 Arranca la máquina virtual y ejecuta ifconfig -a para comprobar la dirección IP

asociada al dispositivo eth0.

© Universidad Internacional de La Rioja (UNIR)

 Incluir en el fichero host de la máquina anfitriona la entrada correspondiente a la

dirección IP de ETH0. Por ejemplo, si la dirección IP obtenida por DHCP para el
dispositivo ETH0 es 192.168.56.110: 192.168.56.110 www.badstore.net

4
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

 Realiza el test de penetración de la aplicación Badstore con el escáner de

vulnerabilidades ZAP atacando al nombre asociado a la dirección del dispositivo
eth0 obtenida en el paso anterior:
http://www.badstore.net/cgi-bin/badstore.cgi.

© Universidad Internacional de La Rioja (UNIR)

5
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

 Audita manualmente al menos tres vulnerabilidades para comprobar la

veracidad de las alertas por parte de ZAP.
Cross Site Scripting
Esta vulnerabilidad de nivel alto donde es importante la seguridad que se pueda
tener al momento de implementar cajas de texto dentro de las páginas web para
que estas no permitan la ejecución de código JavaScript, ya que puede resultar en
un inminente peligro para una página o aplicación web.

© Universidad Internacional de La Rioja (UNIR)

6
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

Ruta Transversal
Esta vulnerabilidad permite acceder a los archivos, directorios, entre otras cosas
de una pagina web, llegando incluso a controlar una URL, para ello es muy
importante la seguridad de

© Universidad Internacional de La Rioja (UNIR)

 Se podrá disponer de un procedimiento de test de penetración con ZAP

disponible en vuestra carpeta personal.

7
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

Extensión y formato

Debes confeccionar una memoria en formato pdf, explicando el proceso y los

resultados obtenidos adjuntando el informe de la herramienta ZAP en formato
html. La extensión requerida es de quince páginas en un documento de Word, el
tipo de letra Georgia, en tamaño 11 y el interlineado 1,5.

Rúbrica

Test de
penetración a
la aplicación Puntuación
web Badstore Peso
Descripción máxima
utilizando una %
herramienta (puntos)
de análisis
dinámico
Como se ha llevado a cabo el
Criterio 1 3 30%
procedimiento de test
Resultados de vulnerabilidades
Criterio 2 3 30%
encontradas
Auditoría de las vulnerabilidades
Criterio 3 3 30%
encontradas
Criterio 4 Calidad de la memoria 1 10%
10 100 %

© Universidad Internacional de La Rioja (UNIR)

8
Actividades