Sin duda la mejor auditoria web que se puede realizar es de manera manual, analizando los comportamientos básicos de la aplicación y entendiendo su flujo de trabajo para encontrar brechas de seguridad, sin embargo el esfuerzo y las experiencia para conseguir éxito en este tipo de auditorias es bastante relativo por eso nos podemos apoyar con el uso de herramientas que evalúan los parámetros mas básicos de las aplicaciones web y obteniendo un vector de ataque.
Auditando con Skipfish
1 – Kali Linux tiene por defecto en su arsenal de herramientas Skipfish :
skipfish -h
2 – Ejecutamos el skipfish primero con el parámetro donde se exportara el informe y el segundo con la url que queremos auditar que en este caso es la aplicación dispuesta por acunetix para realizar pruebas.
skipfish -o /root/Desktop/VulnWeb http://testphp.vulnweb.com/
3 – Nos aparece un mensaje con algunos consejos útiles para el uso de la aplicación, esperamos 60 segundos o presionamos alguna tecla para continuar.
4 – Inicia la magia!, recuerda que el tiempo de duración varia según lo robusto del aplicativo .
5 – Cuando se complete la auditoria nos indicara la ruta donde se almaceno el informe correspondiente.
6 – Abrimos el la ruta donde generamos el informe y abrimos el archivo «index.html».
7 – Ahora que tenemos el informe solamente hace falta comprobar las vulnerabilidades detectadas para descartar falsos positivos.
8 – Encontramos una vulnerabilidad de RFI(Remote File Inclusion) vamos a explotarla!.
9 – Podemos incluir archivos mediante la url, en este caso buscamos una imagen en Internet y le cambiamos el parámetro.
Recuerda que no debes analizar aplicación si en correspondiente consentimiento del propietario de lo contrario es considerado un delito, este tutorial es meramente con propositos educativos y busca ayudar a fortalecer la seguridad de las aplicaciones web.
Saludos!
0x00Sector!!