Categorías
devsecops Hacking Services - Software

Monta tu entorno para Hacking Web con Docker

Si quieres aplicar técnicas de Hacking Web, necesitas un entorno de pruebas.
Aunque es cierto que tienes plataformas como HackTheBox, TryHackMe o VulnHub, en ocasiones te encuentras con retos que nada tienen que ver con lo que estás estudiando en ese momento o en los que no puedes probar una técnica concreta.
En esos casos, lo más habitual es montar tu propio entorno con aplicaciones web vulnerables por diseño, que hay muchas.
El problema que te encuentras es que muchas de estas aplicaciones requieren que instales una base de datos, un servidor web y apliques ciertas configuraciones para que todo funcione y eso lleva tiempo, además, si quieres montar múltiples aplicaciones el esfuerzo y la dificultad es mayor.

Es justo este uno de los casos en los que Docker te puede servir para montar tu entorno fácil y rápidamente.

¿Qué necesitas?

Solo dos cosas, el servicio de Docker correctamente instalado y crear contenedores para las aplicaciones web vulnerables que quieras usar.
Ya está. Es un proceso simple y que te ahorrará varias horas de trabajo si quieres montar el entorno desde cero.
Además de las aplicaciones web vulnerables, también puedes montar herramientas que te servirán para realizar pruebas y aplicar técnicas, nuevamente Docker puede ser útil para ese propósito.

¿Cómo lo montas todo?

Puedes ejecutar los siguientes comandos para montar cada una de las aplicaciones web vulnerables que se listan a continuación

• Damn Vulnerable Web Application (DVWA) en el puerto 8080:
docker run –name dvwa –rm -it -d -p 8083:80 vulnerables/web-dvwa

• Juice Shop en el puerto 3000:
docker run –rm -it -d -p 3000:3000 bkimminich/juice-shop

• WebGoat en el puerto 8081:
docker run –rm –name webgoatandwolf -d -p 8082:8080 -p 9090:9090 -e TZ=Europe/Amsterdam webgoat/goatandwolf

• Mutillidae en el puerto 81:
git clone https://github.com/webpwnized/mutillidae-docker && cd mutillidae-docker && docker-compose up -d

Hay muchas más aplicaciones web con vulnerabilidades, pero con estas es suficiente para tener un pequeño laboratorio de pruebas.
Si quieres aprender a montar tus propios entornos vulnerables, aplicaciones de Hacking, dominar Docker y ser más productivo con esta tecnología, te recomiendo el curso de Docker aplicado a la ciberseguridad. Se trata de un curso corto y 100% práctico y si aprendes esta tecnología en profundidad, te aseguro que para muchas cosas no volverás a perder el tiempo en instalaciones complejas y configuraciones que en ocasiones son un auténtico quebradero de cabeza.


Recuerda que tienes todas las formaciones y packs de The Hacker Way.

Las mejores formaciones en castellano que podrás encontrar y al mejor precio.
No lo digo yo, puedes ver las reseñas en el sitio web.

Más de 500 alumnos han aprovechado los cursos online en THW y tú también podrías ser uno de ellos: https://thehackerway.es/cursos

Por otro lado, puedes registrarte en la comunidad THW: https://comunidad.thehackerway.es/registro

En este sitio web recibirás anuncios sobre ofertas de trabajo y novedades del sector, además podrás participar en los foros y chat.
Puedes acceder a los cursos cortos y artículos con una suscripción: https://comunidad.thehackerway.es/suscripcion
Los contenidos a los que tendrás acceso te serán útiles para comprender por qué no consigues trabajo en el sector o mejoras profesionalmente y, por supuesto, proponerte ideas para mejorar esa situación.

¡Un saludo y Happy Hack!
Adastra.

Categorías
Hacking Web Applications

Hacking Web profesional con la mejor guía de OWASP

Si conoces OWASP, seguramente sabes que se trata de la comunidad de Hacking web más grande del mundo.

Son muchos los proyectos que tienen publicados en su sitio web, siendo la guía OWASP Top 10 el más conocido.

Desde luego debes conocer el OWASP Top 10 si te dedicas al pentesting web, pero no es suficiente para realizar un trabajo profesional.

Es una guía que está muy bien, ya que describe las vulnerabilidades y pruebas más comunes en las aplicaciones web modernas, pero hay muchas más verificaciones que debes realizar, no basta con limitarte a las 10 del listado.

En #OWASP son conscientes de ello y por ese motivo existe la WSTG (Web Security Testing Guide). Es una guía muy completa que no solamente abarca las fases de un #pentest web, sino que además, aporta información sobre buenas prácticas en las etapas de análisis, diseño, construcción y testing.

En otras palabras, es una guía que tiene una filosofía 100% DevSecOps.

La guía WSTG es, probablemente, el mejor recurso que tienes disponible actualmente en el campo del pentesting web. Mi consejo es que si realmente te interesa la seguridad en servidores y aplicaciones web, lo conozcas en detalle para que lo puedas aplicar en tus auditorías web.

Las categorías de dicha guía, a modo resumen, son las siguientes:

Recolección de información

• Reconocimiento de fugas de información usando motores de búsqueda
• Fingerprint del servidor web
• Revisión de los metarchivos del servidor web para detectar fugas de información
• Enumerar aplicaciones en el servidor web
• Revisar el contenido de la página web para detectar fugas de información
• Identificar los puntos de entrada de la aplicación
• Mapear las rutas de ejecución en la aplicación
• Fingerprinting del framework y tecnologías usadas en el servidor
• Detalles sobre la arquitectura de la aplicación web

Gestión de la configuración y despliegue

• Configuración de la infraestructura de red
• Configuración de la plataforma usada por la aplicación
• Extensiones de ficheros e información sensible
• Enumerar la infraestructura y páginas web de administración
• Probar los métodos HTTP
• Verificar los detalles de configuración de HSTS
• Probar aplicaciones Cross Domain Policy
• Permisos en ficheros
• Enumerar subdominios y servidores relacionados
• Pruebas sobre el almacenamiento en la nube

Gestión de la identidad

• Mapear los roles y perfiles que gobiernan la aplicación
• Probar el proceso de registro de usuarios
• Probar los procesos de aprovisionamiento de cuentas
• Probar la enumeración de cuentas de usuarios
• Detectar políticas débiles o no forzadas en nombres de usuarios y contraseñas.

Mecanismos de autenticación

• Pruebas sobre las credenciales enviadas en un canal de comunicación cifrado
• Detectar credenciales por defecto
• Identificar mecanismos de bloqueo débiles
• Pruebas de evasión sobre los mecanismos de autenticación
• Identificar y probar las funciones para recordar contraseña débiles
• Pruebas sobre debilidades en la caché de los navegadores
• Pruebas sobre políticas de contraseñas débiles
• Pruebas sobre la respuesta a las preguntas de seguridad
• Pruebas sobre el cambio de contraseñas y funcionalidades de reseteo
• Identificar mecanismos de autenticación débil en un canal alternativo

Mecanismos de autorización

• Detectar vulnerabilidades de inclusión de ficheros y directorio transversal
• Pruebas sobre la evasión del esquema de autorización
• Pruebas de elevación de privilegios
• Identificar vulnerabilidades de IDOR (Insecure Direct Object Reference)
Gestión de la sesión
• Identificar y probar el esquema utilizado para la gestión de sesiones
• Pruebas sobre atributos de las cookies
• Detectar vulnerabilidades de fijación de sesión
• Detectar variables de sesión expuestas
• Detectar vulnerabilidades CSRF
• Pruebas sobre la funcionalidad de cierre de sesión
• Pruebas sobre el timeout de la sesión
• Pruebas sobre la reutilización de sesiones
• Pruebas sobre el secuestro de sesiones

Validaciones en datos de entrada.

• Pruebas de Cross Site Scripting almacenado y reflejado
• Pruebas de manipulación de verbos HTTP
• Prueba de contaminación de parámetros HTTP
• Pruebas de inyección SQL y NoSQL
• Pruebas de ataques en el lado del cliente
• Prueba de inyección LDAP
• Prueba de inyección XML
• Prueba de inyección de SSI
• Prueba de inyección XPath
• Prueba de inyección IMAP y SMTP
• Prueba de inyección de código
• Prueba de inclusión de archivos locales y remotos
• Prueba de inyección de comandos
• Prueba de inyección de cadenas de formato
• Pruebas de vulnerabilidad incubada
• Pruebas de vulnerabilidades HTTP Splitting y Smuggling
• Prueba de peticiones HTTP entrantes
• Prueba de inyección en la cabecera “host”
• Pruebas de SSTI (Server-Side Template Injection)
• Pruebas de falsificación de solicitudes del lado del servidor (SSRF)

Gestión de errores

• Prueba de gestión inadecuada de errores
• Prueba de Stack Traces

Criptografía

• Pruebas de seguridad sobre la capa de transporte
• Pruebas de “Padding Oracle”
• Identificar el envío de información confidencial a través de canales no cifrados
• Identificar algoritmos de cifrado débiles

Lógica de negocio

• Probar la validación de datos en la lógica de negocio
• Probar de capacidad para falsificar solicitudes y analizar las respuestas del servidor
• Realizar comprobaciones de integridad
• Realizar pruebas de temporización del proceso y condiciones de carrera
• Pruebas sobre el número de veces que se puede usar una función y determinar los límites
• Pruebas para identificar la posibilidad de evadir o hacer un mal uso de los flujos de trabajo de la aplicación
• Pruebas de defensa contra el mal uso de la aplicación
• Pruebas de carga de archivos con contenidos inesperados
• Pruebas de carga de archivos maliciosos

Pruebas en el lado del cliente

• Cross Site Scripting basado en DOM
• Prueba de ejecución de JavaScript
• Prueba de inyección HTML
• Prueba de redirección de URLs en el lado del cliente
• Pruebas de inyección CSS
• Pruebas de manipulación de recursos del lado del cliente
• Prueba de uso compartido de recursos de origen cruzado
• Prueba de Cross Site Flashing
• Pruebas de Clickjacking (secuestro de clicks)
• Pruebas de seguridad en las comunicaciones con WebSockets
• Pruebas de seguridad en mensajería web
• Pruebas sobre el almacenamiento en el navegador
• Pruebas de Cross Site Script Inclusion (XSSI)


Recuerda que tienes todas las formaciones y packs de The Hacker Way.

Las mejores formaciones en castellano que podrás encontrar y al mejor precio.
No lo digo yo, puedes ver las reseñas en el sitio web.

Más de 500 alumnos han aprovechado los cursos online en THW y tú también podrías ser uno de ellos: https://thehackerway.es/cursos

Por otro lado, puedes registrarte en la comunidad THW: https://comunidad.thehackerway.es/registro

En este sitio web recibirás anuncios sobre ofertas de trabajo y novedades del sector, además podrás participar en los foros y chat.
Puedes acceder a los cursos cortos y artículos con una suscripción: https://comunidad.thehackerway.es/suscripcion
Los contenidos a los que tendrás acceso te serán útiles para comprender por qué no consigues trabajo en el sector o mejoras profesionalmente y, por supuesto, proponerte ideas para mejorar esa situación.

 

¡Un saludo y Happy Hack!
Adastra.