Web for Pentester: ejercicio para aprender pentesting web

abril 4, 2013 § 1 comentario

De entre los muchos ejercicios que nos podemos encontrar en el interesante proyecto de PentesterLab creado por Louis Nyffenegger (@snyff), se acaba de publicar un conjunto de ejercicios llamado “Web for Pentester“.

Estos ejercicios repasan las vulnerabilidades más comunes que nos podremos encontrar a la hora de analizar y realizar pruebas sobre aplicaciones web. El enfoque de estas prácticas no es sólo el de realizar las pruebas web como tal, si no todo lo relacionado a procesos de test de intrusión, como el reconocimiento de la arquitectura, sistema, servicios, etc.

Se proponen varios ejemplos para cada una de las siguientes tipos de vulnerabilidades:

  • Pruebas básicas de reconocimiento (fingerprinting)
  • Cross-Site Scripting
  • Inclusión de ficheros
  • Ataques LDAP
  • Inyecciones SQL
  • Inyección de código
  • Subida de ficheros
  • Pruebas de ruta transversal
  • Inyección de comandos
  • Ataques XML

Esta vez no se trata de ejercicios online, si no que el creador del proyecto ha preparado una pequeña imagen .iso, en la cual, bajo el sistema operativo Debian, se ha creado un entorno en el que se incluyen  diferentes scripts vulnerables.

Con la imagen, en la sección de descargas de estos ejercicios se encuentra un documento en .PDF en el que se explican todas y cada una de las pruebas con sus correspondientes ejemplos, aunque obviamente, recomendamos consultar este documento después de, por lo menos, haberle dedicado un buen rato a resolverlos por cuenta propia.

Dicho informe recoge el análisis realizado desde las fases iniciales del test de intrusión (reconocimiento del servicio web, búsqueda de recursos interesantes, puntos de entrada a la aplicación, análisis de respuestas del servidor web, etc), así como conceptos básicos y requeridos para completar las pruebas posteriores.

Si bien el nivel de dificultad se ha determinado como para principiantes, es un buen repaso, además de completo, para cualquier interesado en este campo de la seguridad informática sobre aplicaciones web.

Fuente: SecuritybyDefault

Anuncios

§ Una respuesta a Web for Pentester: ejercicio para aprender pentesting web

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Web for Pentester: ejercicio para aprender pentesting web en Seguridad Informática.

Meta

A %d blogueros les gusta esto: