Análisis de Vulnerabilidades Web

Auditando aplicaciones web con SkipFish

Sin duda la mejor auditoria web que se puede realizar es de manera manual, analizando los comportamientos básicos de la aplicación y entendiendo su flujo de trabajo para encontrar brechas de seguridad, sin embargo el esfuerzo y las experiencia para conseguir éxito en este tipo de auditorias es bastante relativo por eso nos podemos apoyar con el uso de herramientas que evalúan los parámetros mas básicos de las aplicaciones web y obteniendo un vector de ataque.

Auditando con Skipfish

1 – Kali Linux tiene por defecto en su arsenal de herramientas Skipfish :

skipfish -h

Auditando aplicaciones web con SkipFish

2 – Ejecutamos el skipfish primero con el parámetro donde se exportara el informe y el segundo con la url que queremos auditar que en este caso es la aplicación dispuesta por acunetix para realizar pruebas.

skipfish -o /root/Desktop/VulnWeb http://testphp.vulnweb.com/

Auditando aplicaciones web con SkipFish

3 – Nos aparece un mensaje con algunos consejos útiles para el uso de la aplicación, esperamos 60 segundos o presionamos alguna tecla para continuar.

Auditando aplicaciones web con SkipFish

4 – Inicia la magia!, recuerda que el tiempo de duración varia según lo robusto del aplicativo .

Auditando aplicaciones web con SkipFish

5 –  Cuando se complete la auditoria nos indicara la ruta donde se almaceno el informe correspondiente.

Auditando aplicaciones web con SkipFish

6 – Abrimos el la ruta donde generamos el informe y abrimos el archivo «index.html».

Auditando aplicaciones web con SkipFish

7 – Ahora que tenemos el informe solamente hace falta comprobar las vulnerabilidades detectadas para descartar falsos positivos.

Auditando aplicaciones web con SkipFish

Auditando aplicaciones web con SkipFish

8 – Encontramos una vulnerabilidad de RFI(Remote File Inclusion) vamos a explotarla!.

Auditando aplicaciones web con SkipFish

9 – Podemos incluir archivos mediante la url, en este caso buscamos una imagen en Internet y le cambiamos el parámetro.

Auditando aplicaciones web con SkipFish

Recuerda que no debes analizar aplicación si en correspondiente consentimiento del propietario de lo contrario es considerado un delito, este tutorial es meramente con propositos educativos y busca ayudar a fortalecer la seguridad de las aplicaciones web.

Saludos!

0x00Sector!!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *