Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Vulnerabilidades

    Cargado por

    asdfkkk
    42 vistas10 páginas
    El documento describe el uso de las herramientas OWASP ZAP y VEGA para analizar vulnerabilidades en sitios web. OWASP ZAP realiza un escaneo automático y genera alertas de vulnerabilidades detectadas. VEGA permite seleccionar módulos de validación y configurar parámetros de escaneo. Ambas herramientas brindan detalles sobre vulnerabilidades encontradas.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe el uso de las herramientas OWASP ZAP y VEGA para analizar vulnerabilidades en sitios web. OWASP ZAP realiza un escaneo automático y genera alertas de vulnerabilidades detectadas. VEGA permite seleccionar módulos de validación y configurar parámetros de escaneo. Ambas herramientas brindan detalles sobre vulnerabilidades encontradas.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    Descargar como pdf o txt
    42 vistas10 páginas

    Vulnerabilidades

    Cargado por

    asdfkkk
    El documento describe el uso de las herramientas OWASP ZAP y VEGA para analizar vulnerabilidades en sitios web. OWASP ZAP realiza un escaneo automático y genera alertas de vulnerabilidades detectadas. VEGA permite seleccionar módulos de validación y configurar parámetros de escaneo. Ambas herramientas brindan detalles sobre vulnerabilidades encontradas.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    Descargar como pdf o txt
    de 10

    GESTIÓN DE VULNERABILIDADES

    APLICACIONES

    Las aplicaciones que se utilizaran durante el desarrollo de la práctica son:

    • OWASP ZAP
    • VEGA

    DESARROLLO DE LA PRÁCTICA

    Para el siguiente laboratorio vamos a realizar el análisis de vulnerabilidades sobre


    alguna la siguiente página web, la cual tiene vulnerabilidades conocidas para
    realizar la práctica:

    http://www.partidodeltrabajo.org.mx/articulo.php?id=125

    Herramienta OWASP ZAP

    Descargue e instale la herramienta (Puede utilizar la 2.9), o si lo desean puede


    también ser ejecutada en su máquina virtual de Kali Linux.

    https://owasp.org/www-project-zap/
    Cuando ingrese, se presenta un formulario de inicio rapido en donde simplemente
    tenemos que digitar la URL de la pagina que deseamos validar.

    Podemos adicionar ciertos plugins para hacer ataques especificos, según lo que
    estemos buscando.
    Cuando de clic en Atacar, se inicia el escaneo y en la pestaña de Alertas vemos los
    resultados de analisis y de los ataques que ejecuta la herramienta:

    En la pestaña de Spider podemos ver las URLs detectadas en el escaneo, la


    pestaña de Escaneo Activo muestra el resultado de las vulnerabilidades mas
    comunes y Fuzzer utiliza tecnicas de ataque un poco mas avazadas
    En el panel izquierdo podemos explorar las vulnerabilidades detectadas y dando
    doble clic en cualquiera podemos ver el detalle: Descripción, evidencia del ataque y
    solución

    Podemos ejecutar ataques mas precisos seleccionado el formulario, con la opción


    atacar y Fuzz:

    Podemos adicionar paylodas (Programas prediseñados para un ataque)


    Para el ejercicio adicionamos File Fuzzer - Injection

    Por ultimo podemos generar un informe de lo hallazgos:


    Herramienta VEGA

    Descargue e instale la herramienta


    https://subgraph.com/vega/download/index.en.html

    Damos clic en Select New Scan, el objetivo que vamos a escanear es la misma
    pagina:
    Seleccionamos los módulos o validaciones que deseamos chequear:

    Podemos configurar cookies especificas para autenticarnos en la aplicación si las


    tenemos:
    Podemos incluir o excluir parametros para el escaneo:

    Ejecutamos el escaneo y en la pestaña de Alerts vemos los resultados mas


    relevantes:
    Al seleccionar alguna de la vulnrabilidades, podemos ver la descripción, impacto y
    metodos para remediarla:

    Compare los resultados de las dos herramientas, valide las similitudes y


    diferencias en los resultados.

    Realice el análisis de vulnerabilidades con alguna de las siguientes paginas, usando


    las dos herramientas vistas en este laboratorio:

    http://testhtml5.vulnweb.com
    http://testphp.vulnweb.com
    http://testasp.vulnweb.com
    http://testaspnet.vulnweb.com

    Conteste las siguientes preguntas:


    • En que lenguaje esta desarrollada la aplicación?
    • Cual es la principal vulnerabilidad que presenta esta pagina?
    • Que diferencias existen entre los resultados de las dos herramientas?
    • Cual de las dos herramientas recomendaria y porque?

    También podría gustarte