Proyecto Broken Web Applications de OWASP

Este es mi primera entrada en el blog luego de las vacaciones de verano y quisiera comenzar hablando de un proyecto que me permitió, en estas semanas de receso, recrear varios escenarios para la realización de pruebas de seguridad en aplicaciones web. Si, ya sé que las vacaciones son para descansar, pero también son para hacer cosas que a uno le gusta y si disfrutas leyendo y creando pues adelante. Por cierto, pude leer la novela Criptonomicón del escritor Neal Stephenson y les digo que, si les gusta GNU/Linux, la criptografía, las historias de la WW2, las películas de acción, la cultura japonesa, la búsqueda de tesoros y la historia de la informática, no debes dejar de leer esta novela de ciencia ficción.

El proyecto Broken Web Applications(BWA) de OWASP consiste en una colección de aplicaciones web vulnerables, empaquetadas en una máquina virtual (VM) en formato VMware. Este formato no impide que la VM pueda ser abierta con VirtualBox, ya que este último soporta la extensión .vmdk.

La VM viene preparada para que sea administrada a través de SSH, Samba y phpmyadmin. No posee escritorio gráfico, esto facilita que pueda ser ejecutada en computadoras con recursos modestos. 512MB de RAM son suficientes para que trabaje fluidamente. La versión de BWA que usé fue la 1.2, liberada en agosto del 2015, y está basada en Ubuntu Server 10.10. Esta versión puede descargarse desde la página web https://sourceforge.net/projects/owaspbwa/files/ y pesa 1.8 GB. Desgraciadamente el proyecto se encuentra actualmente clasificado como inactivo por OWASP, sin embargo, los resultados alcanzados son más que suficientes para establecer un conjunto de escenarios de pruebas de seguridad muy interesantes.

P30.1.png

Figura 1. Pantalla de bienvenida de la VM de BWA.

La contraseña de root es owaspbwa, el cual se muestra en el mensaje de bienvenida de la VM.

Las aplicaciones están divididas por las siguientes clasificaciones:

P30.2

Figura 2. Aplicaciones de entrenamientos: Contienen breves tutoriales y además tienen lecciones que pueden ser autoevaluadas.

P30.3

Figura 3. Aplicaciones desarrolladas intencionalmente con vulnerabilidades: Son aplicaciones desarrolladas específicamente para servir como campo de prueba de seguridad. A diferencia de la categoría anterior, no muestran tutoriales ni se autoevalúan sus resultados.

P30.4

Figura 4. Versiones antiguas de aplicaciones reales vulnerables: En esta parte, como su nombre lo indica, estamos en presencia de aplicaciones reales con vulnerabilidades conocidas. Tenemos aplicaciones realizadas en PHP, Ruby. Perl, JEE, etc, redes sociales, CMS, Wikis, WebCalendar, etc.

P30.6

Figura 5. Contamos además con tres categorías más: Aplicaciones para probar herramientas, Páginas y pequeñas aplicaciones de demostración y una aplicación de demostración de OWASP.

En general, podemos decir que hay un buen surtido de aplicaciones web para experimentar. En mi caso he estado escribiendo algunos post en las vacaciones por lo que esta VM me ha sido muy útil para realizar algunos experimentos y realizar capturas de pantallas para enriquecer las explicaciones. De más está decir que la VM solo debe usarse para experimentar y se recomienda encarecidamente que se configure la red en modo Host-Only. Cualquier otro uso que se le dé, como compartir su acceso desde una red local, representará un riesgo tan importante para dicha red como tener un servidor repleto de aplicaciones web vulnerables.

Espero que te haya gustado el post y si estás en Cuba y te es complicado descargar la VM completa puedes ponerte en contacto  para que la puedas copiar.

S4lud0s y h4st4 el próx1m0 p0st!!!

Anuncios

14 comentarios en “Proyecto Broken Web Applications de OWASP

  1. Pingback: Test Upload of Unexpected File Types (OTG-BUSLOGIC-008) | Behique Digital

  2. Pingback: Base64 y su vulnerable aplicación en el ofuscamiento de credenciales en la Autenticación Básica de HTTP/1.1 (+Ejemplo) | Behique Digital

  3. Pingback: Por qué la Autenticación Básica de HTTP/1.1 es vulnerable (+Ejemplo) | Behique Digital

  4. Pingback: ¿Tu aplicación web es vulnerable a un Ataque de Escalada de Privilegios? Analízalo con la OTG-AUTHZ-003 para que salgas de dudas (+Ejemplo) | Behique Digital

  5. Pingback: Comprueba de manera sencilla si tu aplicación web es vulnerable a la Referencia Directa Insegura a Objetos con la OTG-AUTHZ-004 | Behique Digital

  6. Pingback: ¿El suficiente que el método POST sea más seguro que el método GET? Un simple experimento demuestra que no | Behique Digital

  7. Pingback: ¿Qué es el Referer? | Behique Digital

  8. Pingback: Apuntes sobre el Referer spoofing, el Referer spam y otros problemas de seguridad relacionados | Behique Digital

  9. Pingback: Análisis de la shellcode IndoXploit | Behique Digital

  10. Pingback: Configurando Burp Suite en modo proxy man-in-the-middle con Firefox, Foxy Proxy y Kali Linux | Behique Digital

  11. Pingback: Técnica Fuzzing con OWASP ZAP: Profundizando en el análisis de Directory Traversal y detectando en lote archivos por defecto | Behique Digital

  12. Pingback: ¿Eres vulnerable a un ataque de Directory Traversal? Aplicación de la OTG-AUTHZ-001 con OWASP ZAP | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s