Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 130 vistas

    Actividad 2

    Cargado por

    JordiGonzález

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd

    Actividad 2

    Cargado por

    JordiGonzález
    130 vistas5 páginas

    Título original

    Actividad_2

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Descargar como doc, pdf o txt
    130 vistas5 páginas

    Actividad 2

    Cargado por

    JordiGonzález

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Descargar como doc, pdf o txt
    Está en la página 1de 5

    Asignatura Datos del alumno Fecha

    Apellidos:
    Seguridad en
    Aplicaciones Online
    Nombre:

    Actividades

    Laboratorio: Test de penetración a la aplicación web


    BADSTORE con la herramienta OWASP ZAP

    Objetivos

    » Vas a aprender a encontrar vulnerabilidades de seguridad en una aplicación web.


    » Vas a explotar vulnerabilidades de seguridad en una aplicación web.
    » Vas a aprender a utilizar un scanner de vulnerabilidades de aplicaciones web a
    través de un procedimiento por fases.

    Descripción de la actividad

    Realización de un test de penetración a la aplicación web BADSTORE.

    Para la realización de este laboratorio primero tendrás que descargarte ORACLE.

    Accede a la descarga a través de la siguiente dirección web:


    https://www.virtualbox.org/

    También tendrás que descargar e instalar ZAP.

    Accede a la descarga a través de la siguiente dirección web:


    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

    Por último, descarga la máquina virtual con la aplicación BADSTORE.

    Accede a la descarga a través de la siguiente dirección web:


    https://www.dropbox.com/sh/7ewzuosszqslkok/AADL6CSiXkoFPWdmfnwjHDLYa?
    dl=0

    TEMA 4 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Datos del alumno Fecha
    Apellidos:
    Seguridad en
    Aplicaciones Online
    Nombre:

    » Importa el servicio virtualizado badstore.ova desde ORACLE virtualbox.

    » En configuración - almacenamiento, asocia la imagen BadStore-212.iso en el


    controlador IDE (cdrom) y configura la máquina virtual para que arranque primero
    desde el cdrom.

    » Crea una red virtualbox HOST ONLY en VIRTUALBOX → (Archivo → Administración


    redes solo anfitrión) o (Archivo- preferencias- red- redes solo anfitrión- añadir una red-
    habilitar DCHP) según versión y configurar de la siguiente forma:

    TEMA 4 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Datos del alumno Fecha
    Apellidos:
    Seguridad en
    Aplicaciones Online
    Nombre:

    » Configura el adaptador de red solo-anfitrión con las siguientes direcciones:

    TEMA 4 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Datos del alumno Fecha
    Apellidos:
    Seguridad en
    Aplicaciones Online
    Nombre:

    » Comprobar en la configuración de la máquina virtual BADSTORE → RED que el


    ADAPTADOR 1 está habilitado y conectado a ADAPTADOR SOLO ANFITRION.

    » Arranca la máquina virtual y ejecuta ifconfig -a para comprobar la dirección IP


    asociada al dispositivo eth0.

    » Incluir en el fichero HOST de la máquina anfitriona la entrada correspondiente a la


    dirección IP de ETH0. Por ejemplo, si la dirección IP obtenida por DHCP para el
    dispositivo ETH0 es 192.168.56.110:
    192.168.56.110, www.badstore.net

    » Realiza el test de penetración de la aplicación BADSTORE con el Scanner de


    vulnerabilidades ZAP atacando al nombre asociado a la dirección del dispositivo
    eth0 obtenida en el paso anterior: www.badstore.net/cgi-bin/badstore.cgi

    » Audita manualmente al menos tres vulnerabilidades para comprobar la veracidad de


    las alertas por parte de ZAP.

    » Se podrá disponer de un procedimiento de test de penetración con ZAP


    disponible en vuestra carpeta personal.

    Rúbrica

    Laboratorio Puntuación
    Peso
    Descripción máxima
    (valor real:
    %
    6,5 puntos) (puntos)

    Cómo se ha llevado a cabo el


    Criterio 1 4 40 %
    procedimiento de test.

    Resultados de vulnerabilidades
    Criterio 2 3 30 %
    encontradas.

    Criterio 3 Calidad de la memoria. 3 30 %

    10 100 %

    TEMA 4 – Actividades © Universidad Internacional de La Rioja. (UNIR)


    Asignatura Datos del alumno Fecha
    Apellidos:
    Seguridad en
    Aplicaciones Online
    Nombre:

    Entrega

    Debes confeccionar una memoria en formato PDF explicando el proceso y los


    resultados obtenidos adjuntando el informe de la herramienta ZAP en
    formato html.

    Extensión máxima: 15 páginas en un documento de Word, tipo de letra Georgia,


    tamaño 11 e interlineado 1,5.

    TEMA 4 – Actividades © Universidad Internacional de La Rioja. (UNIR)

    También podría gustarte

    pFad - Phonifier reborn

    Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

    Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


    Alternative Proxies:

    Alternative Proxy

    pFad Proxy

    pFad v3 Proxy

    pFad v4 Proxy