Professional Documents
Culture Documents
Antecedentes
Para la realizacin de las actividades del laboratorio OWASP Top 10 se utilizarn distintas
herramientas que permitirn simular pginas web con distintos tipos de vulnerabilidades que
pueden ser explotadas con fines de aprendizaje.
Listado de herramientas
Para identificar las vulnerabilidades que podran ser explotadas por las amenazas listadas en el
OWASP Top 10, se utilizar la herramienta OWASP ZAP (Zed Attack Proxy) la cual permite realizar
anlisis de sitios web en bsqueda de vulnerabilidades, con diversos fines, entre los cuales est el
aprendizaje o securizacin misma del sitio.
Para los primeras dos amenazas a la seguridad de una aplicacin web (SQLi y XSS) se har uso de la
Aplicacin de demostracin de Seguridad de Software la cual es utilizada en el mdulo Seguridad de
Software (CC5315) en la Universidad de Chile.
Posteriormente, continuando con el anlisis, deteccin y mitigacin de amenazas se continuar con
el OWASP Broken Web Applications Project, la cual es una coleccin de aplicaciones web vulnerables
que son distribuidas dentro de una mquina virtual en formato VMware para ser utilizada en el
VMware Player.
Instalacin de herramientas
1. OWASP ZAP
La instalacin de OWASP ZAP requiere descargar el instalador desde la pgina web oficial
del proyecto (https://code.google.com/p/zaproxy/wiki/Downloads?tm=2). Posteriormente
slo es necesario seguir los pasos del asistente de instalacin.
2. Aplicacin de demostracin de Seguridad de Software
En primer lugar se requiere tener instalado Java (1.6 o superior) y Maven (2 o superior).
La instalacin de Maven (en Windows) se realiza descargando el instalador desde la pgina
web oficial (http://maven.apache.org/download.cgi) la opcin apache-maven-3.2.3-bin.zip.
Se descomprime el contenido el cual se compone de la carpeta apache-maven-3.2.3.
A continuacin se han de crear ciertas variables de entorno, las cuales son necesarias para
la utilizacin de Maven. Las variables de entorno se crean en las opciones avanzadas de las
propiedades del sistema.
Accediendo al men de Variables de entorno, se pueden crear las variables que se necesitan
Ah hay que crear una nueva variable de sistema con el nombre M2_HOME y el valor la ruta
en donde se encuentra la carpeta de Apache Maven.
Luego, se ha de editar la variable Path con el valor de la variable ;%M2_HOME%\bin
A modo de troubleshooting sera bueno verificar la instalacin del JDK de Java y que exista
la variable de entorno JAVA_HOME. De no ser as, se ha de crear la variable de entorno con
el nombre JAVA_HOME y el valor de la variable; la ruta en donde se encuentra instalado el
JDK. Normalmente la ruta es C:\Archivos de programa\Java\jdk1.x_x
Se debe comprobar el estado de la instalacin mediante la consola ejecutando mvn -version
Modo de uso
Los comandos que sern listados a continuacin requieren situarse en el directorio donde
se encuentra el archivo pom.xml
Antes de comenzar a usar la aplicacin se debe crear una base de datos para la aplicacin
web, mediante: mvn install
Finalmente para activar el servidor, slo se debe escribir en la consola: mvn jetty:run
El servidor se activar automticamente y dejar la aplicacin en http://localhost:8080
3. OWASP Broken Web Applications Project
Es una coleccin de aplicaciones web vulnerables que son distribuidas dentro de una
mquina virtual en el formato VMware.
Esta coleccin incluye varios tipos de aplicaciones opensource. Entre las cuales se
encuentran:
- Aplicaciones de Entrenamiento: OWASP WebGoat, OWASP Mutillidae II, OWASP Bricks.
- Aplicaciones Reales Intencionalmente Vulnerables: OWASp Vicnum, Google Gruyere,
BodgeIt.
- Aplicaciones Reales Antiguas: WordPress, Gallery2, Joomla, AWStats.
- Aplicaciones para Probar Herramientas: OWASP ZAP-Wave, WAVSEP, WIVET.
- Pginas para Demostracin / Pequeas Aplicaciones: OWASP CSRFGuard, Mandiant
Strus Forms.
- Aplicaciones OWASP para Demostracin: Owasp AppSensor Demo Aplication.
La mquina virtual puede ser descargada en su ltima versin 1.1.1 desde la pgina oficial
(http://sourceforge.net/projects/owaspbwa/files/). Es un archivo de tamao de 1.3 Gb que
viene comprimido. Una vez descomprimido se debe abrir con la aplicacin VMware Player.
Una vez que se utilizan las credenciales username = root y password = owaspbwa se puede
ingresar al portal web que ofrece la mquina mediante un navegador en la direccin
http://192.168.136.130
Desde ah se pueden utilizar las distintas pginas web que sern auditadas durante el
desarrollo de este laboratorio.
OWASP TOP 10
SQL Injection
Descripcin
Un ataque de inyeccin SQL consiste en la insercin o inyeccin de datos en una consulta SQL
desde un cliente de la aplicacin. En el caso de tener xito en inyeccin SQL podra por ejemplo, leer
datos sensibles de la base de datos, modificar los datos, realizar operaciones de administracin
sobre la misma base de datos tal como reiniciar el DBMS, entre otros. Los ataques de inyeccin SQL
son un tipo de ataque de inyeccin, en los cuales comandos SQL son inyectados en texto para afectar
la correcta realizacin de una consulta SQL predefinida.
Los tipos de ataques de inyeccin SQL se dividen en tres clases:
-
Inband: los datos son extrados usando el mismo canal que es usado para inyectar el cdigo
SQL. Este es el tipo de ataque ms simple, en el que los datos recibidos se muestran en la
propia aplicacin web.
Out-of-band: los datos son extrados usando un canal diferente, como puede ser un correo
electrnico con el resultado de la consulta que es generado y enviado al auditor.
Inferetial: no hay transferencia de datos, pero el auditor puede reconstruir la informacin
enviando peticiones y observando el comportamiento que mantiene el servidor de bases de
datos.
Independiente del tipo de ataque, una inyeccin SQL correcta requiere que el atacante pueda
construir una consulta SQL correcta. Si la aplicacin devuelve un mensaje de error a causa de una
consulta incorrecta, entonces en fcil reconstruir de forma lgica la consulta original y, por lo tanto,
entender cmo realizar una inyeccin correctamente. Sin embargo, si la aplicacin oculta los
mensajes de error, un auditor puede conseguir por medio de ingeniera inversa la lgica de la
consulta original. Este ltimo caso se conoce como inyeccin SQL ciega (Blind SQL Injeccion).
Deteccin de inyeccin SQL
Como primer paso para esta prueba es entender cuando una aplicacin web se conecta a un servidor
de bases de datos para acceder a algn dato. Los ejemplos tpicos de casos en los que una aplicacin
necesita comunicarse con una base de datos incluyen:
-
Una opcin es probar lo mencionado en al comienzo de la seccin de inyeccin SQL con la prueba
estndar. De otro modo, se puede utilizar OWASP ZAP como herramienta automtica para la
deteccin de vulnerabilidades.
Uso de la herramienta OWASP ZAP
En primer lugar se debe indicar cul ser la direccin a la cual dirigir las acciones de anlisis de
vulnerabilidades. Dado que se est utilizando la aplicacin web alojada en la direccin
localhost:8080 se agrega tal direccin y se continua con el botn Atacar dado el inicio a la revisin
de vulnerabilidades
La herramienta indica que efectivamente la brecha puede ser explotada utilizando la prueba
estndar de inyeccin SQL.
Por lo tanto lo que dado que ya se ha identificado que vulnerabidad es explotable efectivamente
por un ataque de inyeccin SQL corresponde ahora aplicar medidas de mitigacin.
Contramedida/Mitigacin
La contramedida o mitigacin para situaciones como estas segn OWASP corresponde a que en
primer lugar todas las consultas deben ser parametrizadas. Luego, todos los datos dinmicos deben
En este cdigo es posible proporcionar un nombre de usuario con meta-caracteres de SQL que
desestabiliza la consulta, por ejemplo con un nombre de usuario admin' OR '1'='1 y una contrasea
en blanco, generando una sentencia de consulta SQL de esta forma:
SELECT * FROM user WHERE username='admin' OR '1'='1' AND password=' '
Permitiendo iniciar sesin sin proporcionar contrasea dado que la expresin OR siempre es cierta.
La forma de evitarlo usando sentencias preparadas es la siguiente:
En esta actividad se requiere buscar la consulta en el cdigo fuente de la aplicacin web y corregir
la consulta utilizando sentencias preparadas para as evitar un ataque de inyeccin SQL.
Actividades
1. Realizar un ataque de SQL inyeccin en el portal de la aplicacin web objetivo.
2. Aplicar correccin de mitigacin en el cdigo fuente de la aplicacin web.
3. Documentar los resultados.
Un auditor debe sospechar que cada posible entrada de datos puede resultar en un ataque XSS.
Para analizarlo, se juega con las variables en la URI intentando explotar la vulnerabilidad. Por
ejemplo con el siguiente enlace sucede esto:
http://www.clinicasantamaria.cl/***/***.asp?mensaje=<script>alert(/Ejemplo XSS UTALCA 20142/)<script>
Esto indica que existe una vulnerabilidad XSS y pareciera ser que se puede ejecutar cdigo a gusto
en el navegador de cualquiera si el usuario hace clic en el enlace auditado.
Contramedida/Mitigacin
Actualmente la mayora de las aplicaciones web utiliza sanitizacin para evitar este tipo de
vulnerabilidades. Sin embargo, algunas permanecen vulnerables. Los ataques de cross site scripting
reflejado son prevenidos o bien del lado del servidor utilizando sanitizacin, o con firewall de
aplicaciones web, o del lado del cliente utilizando mecanismos de prevencin que se integran a los
navegadores web como complementos.
Debido a que la mayora de los clientes no actualiza los navegadores, un auditor no puede confiarse
en esto y debe testear por vulnerabilidades asumiendo que los navegadores web no podrn evitar
el ataque.
Una aplicacin web o el servidor web, por ejemplo, el mdulo de Apache mod_rewrite, puede
convertir la URL que coincida con una expresin regular como un procedimiento de sanitizacin. Por
ejemplo la siguiente expresin regular puede ser usada para detectar y bloquear caracteres
alfanumricos dentro de tags o barras inclinadas.
/((\%3C)|<)((\%2F)|\/)*[a-z0-9\%]+((\%3E)|>)/i
Como resultado el ataque realizado arriba a la pgina web de la Clnica Santa Mara no funcionara.
En esta actividad se requiere buscar en el cdigo fuente de la pgina web de Fans de las aves chilenas
la vulnerabilidad que puede ser explotada por cross site scripting y corregirla para as evitar un
ataque XSS.
Actividades
1. Realizar un ataque de XSS Reflejado en el portal de la aplicacin web objetivo (Fans de las aves
chilenas).
2. Aplicar correccin de mitigacin en el cdigo fuente de la aplicacin web.
3. Documentar los resultados.
http://webapplication.com/viewtrans?idt=205683
Consultar una transaccin X y poder ver la informacin asociada slo cambiando el ID de transaccin
http://webapplication.com/viewtrans?idt=205684
Decidir si la transaccin X es un problema de seguridad o no es difcil de comprobar por medio de
anlisis dinmicos de vulnerabilidades.
Actividad de laboratorio
En Mutillidae se debe entrar en la seccin de Source Code Viewer
Actividad
1. Realizar modificacin de la cabecera HTTP en el parmetro POST para saltar al cdigo PHP
de password-generator.php
2. Listar los controles de mitigacin que aplicara si tuviera a disposicin el cdigo fuente de la
aplicacin web.
3. Documentar los resultados.
secure - Este atributo le dice al navegador que solo enve la cookie si la peticin est siendo
enviada sobre un canal seguro como HTTPS. Esto ayudar a proteger la cookie de ser
enviada en peticiones no cifradas.
HttpOnly - Este atributo es usado para ayudar a evitar ataques como cross-site scripting, ya
que no permite que la cookie sea accedida va un script como JavaScript. Note que no todos
los navegadores soportan esta funcionalidad.
domain - Este atributo es usado para comparar contra el dominio del servidor en el que la
URL est siendo requerida. Si el dominio es el mismo o si es un sub-dominio, entonces el
atributo path ser el siguiente en ser verificado.
path - en adicin al dominio, la ruta de URL puede ser especificada para la cual la cookie es
vlida. Si el dominio y la ruta coinciden, entonces la cookie ser enviada en la peticin.
expires - Este atributo es usado para establecer cookies persistentes, ya que la cookie no
expira hasta que la fecha establecida sea superada. Esta cookie persistente ser usada por
esta sesin del navegador y sesiones subsecuentes hasta que la cookie expire. Una vez que
la fecha de expiracin haya sida superada, el navegador borrar la cookie. Alternativamente,
si este atributo no es establecido, entonces la cookie es solo vlida en la sesin actual del
navegador y ser eliminada cuando la sesin termine.
Control/Mitigacin
Usando un proxy interceptor o un plug-in interceptor para el navegador, se deben capturar todas
las respuestas donde una cookie sea establecida por la aplicacin (usando la directiva Set-cookie) e
inspeccione la cookie en busca de:
Atributo secure - Siempre que una cookie contenga informacin sensitiva o que sea un
identificador de sesin, entonces debe siempre ser enviada usando un canal cifrado. Por
ejemplo, despus de ingresar a una aplicacin y un identificador de sesin es establecido
usando una cookie, verificar si est etiquetada usando la bandera ";secure". Si no es as,
entonces el navegador cree que es seguro enviarla en un canal no cifrado como HTTP.
Atributo HttpOnly - Este atributo debe ser establecido siempre aunque no todos los
navegadores lo soportan. Este atributo ayuda a asegurar la de ser accedida por un script
local as que verifique que la etiqueta ";HttpOnly" haya sido establecida.
Atributo Domain - Verifique que el dominio no haya sido establecido pobremente. Como se
vio anteriormente, debe ser nicamente establecido para el servidor que necesita recibir la
cookie. Por ejemplo si la aplicacin reside en el servidor app.mysite.com, entonces debe ser
establecido a "; domain=app.mysite.com" y NO ";domain=.mysite.com" ya que esto
permitira otros servidores potencialmente vulnerables recibir la cookie.
Atributo path - Verifique que el atributo de ruta, como el atributo de dominio, no haya sido
establecido pobremente. Aunque el atributo de dominio haya sido configurado tan rgido
como sea posible, si la ruta es establecida al directorio raz "/" entonces puede ser
vulnerable a aplicaciones menos seguras en el mismo servidor. Por ejemplo si la aplicacin
reside en /myapp/ entonces verifique que la ruta de las cookies sea establecido a ";
path=/myapp/" y NO "; path=/" o "; path=/myapp". Note que "/" debe ser usada despus
de myapp. Si no es usado, el navegador enviar la cookie a cualquier ruta que coincida con
"myapp" como "myapp-exploited".
Atributo expires - Verifique que, si este atributo es establecido en un tiempo futuro, que no
contenga ninguna informacin sensitiva. Por ejemplo, si una cookie es establecida a ";
expires=Fri, 13-Jun-2010 13:45:29 GMT" y es actualmente Junio 10 de 2008, entonces hay
que inspeccionar la cookie. Si la cookie es un identificador de sesin que es almacenado en
el disco duro del usuario entonces un atacante o usuario local (como un administrador) que
tenga acceso a esta cookie puede acceder a la aplicacin al reenviar este identificador hasta
que la fecha de expiracin haya pasado.
Actividad de laboratorio
En Mutillidae se deber capturar la sesin de administrador mediante modificacin de las cookies
de sesin utilizando alguna herramienta del tipo proxy/plug-in interceptor, se deben capturar todas
las respuestas donde una cookie sea establecida por la aplicacin y capturar ah la sesin de
administrador.
Actividades
1. Realizar la captura de la cuenta de sesin de administrador de la aplicacin Web.
2. Listar los controles de mitigacin que aplicara si tuviera a disposicin el cdigo fuente de la
aplicacin web.
3. Documentar los resultados.
La aplicacin no puede distinguir entre estas formas de efectuar la peticin GET. En particular, la
tercera podra ser bastante peligrosa. Existen muchas tcnicas, y vulnerabilidades, que pueden
disfrazar las propiedades reales de un enlace. El enlace se puede incrustar en un mensaje de correo
electrnico, o aparecer en un sitio malicioso a donde se atrae al usuario, por ejemplo, el enlace
puede aparecer en alojado en cualquier otro sitio web o correo electrnico, y apunta a un recurso
de la aplicacin. Si el usuario hace clic sobre el enlace, como ya estaba autenticado previamente en
la aplicacin web, el navegador efectuar una peticin GET a la aplicacin web, acompaada de la
informacin de autentificacin (cookie con el identificador de sesin). Esto dar como resultado la
ejecucin de una operacin vlida en la aplicacin web lo cual no ser algo que el usuario
efectivamente espera o desea que suceda. Como puede ser el robo de sus credenciales de una red
social o correo electrnico.
Utilizando una etiqueta como img, tal como se menciona en el punto 4, incluso no es necesario que
el usuario siga un enlace en particular. Suponiendo que un atacante enva a un usuario un correo
electrnico inducindolo a hacer clic en una URL que lo traslade a una pgina que contenga el HTML:
Lo que har el navegador cuando muestre esta pgina es que intentar mostrar tambin la imagen
con un ancho de valor cero. Esto tendr como resultado una peticin enviada de forma automtica
a la aplicacin web hospedada en el sitio. No es importante que la URL de la imagen no haga
referencia a una imagen real, su mera presencia disparar la peticin especfica en el campo src de
todos modos; esto sucede ya que la descarga de imgenes no est deshabilitada en los navegadores,
la configuracin tpica, ya que desactivar las imgenes mutilara la mayora de las aplicaciones web
afectando su usabilidad.
Existen etiquetas HTML cuya aparicin en una pgina resulta en la ejecucin automtica de
una peticin http, siendo img una de ellas.
El navegador no tiene forma de decir que el recurso referenciado por img no es actualmente
una imagen y que de hecho no es legtima.
La carga de imagen sucede a pesar de su localizacin, por ejemplo, el formulario y la propia
imagen no tienen por qu estar en el mismo servidor, incluso tampoco en el mismo dominio.
Aunque esta es una caracterstica muy til, se hace muy difcil compartimentar aplicaciones.
Profundizando un poco ms, en un escenario an peor que l ejemplo anterior, podra ser en el cual
un entorno integrado correo/navegador simplemente mostrando un mensaje de correo electrnico
que contenga la imagen, podra resultar en la ejecucin de la peticin a la aplicacin web con la
cookie asociada en el navegador.
Referencia URL a una imagen aparentemente vlida:
<img src=https://[attacker]/picture.gif width=0 height=0>
Donde attacker es una pgina web controlada por el atacante y que utiliza un mecanismo de desvo:
http://[attacker]/picture.gif to http://[thirdparty]/action
Las cookies no son el nico ejemplo involucrado en este tipo de vulnerabilidad. Las aplicaciones web
cuya informacin de sesin es proporcionada enteramente por el navegador tambin son
vulnerables. Esto incluye aplicaciones que slo confan en mecanismos de autentificacin HTTP, ya
que la informacin es conocida por el navegador y se enva automticamente en cada peticin. Esto
no incluye la autenticacin basada en formularios, que ocurre slo una vez y general algn tipo de
informacin relacionada con la sesin.
Deteccin de Cross Site Request Forgery
Para hacer comprobaciones se necesita conocer las URLs correspondientes las reas restringidas
(aquellas que requieren autenticacin). Si se cuenta con credenciales vlidas, se pueden asumir los
dos papeles; el atacante y la vctima. En este caso, se conocen las URLs a comprobar simplemente
por haber navegado por la aplicacin.
De otro modo, si no se cuenta con las credenciales vlidas, se tiene que organizar un ataque real, y
por lo tanto inducir al usuario legtimo que est autenticado a que siga un determinado enlace. Esto
puede suponer un considerable esfuerzo de ingeniera social.
Prueba estndar de Cross Site Request Forgery
Supngase un escenario donde un usuario vctima est autenticado en una aplicacin web de
gestin de firewalls. Para iniciar sesin, un usuario tiene que autenticarse el mismo, posteriormente
la informacin de la sesin se almacena en una cookie.
Suponiendo que la aplicacin web de gestin de firewalls tiene una funcin que permite a un usuario
autenticado borrar una regla especificada por su nmero de posicin, o todas las reglas de la
configuracin si el usuario ingresa '*'. A continuacin se muestra la pgina para efectuar el borrado.
Suponiendo que el formulario, por simplicidad, efecta una peticin GET, que ser de la forma:
https://[target]/fwmgt/delete?rule=1 (para eliminar la regla nmero 1)
https:// [target]/fwmgt/delete?rule=* (para eliminar todas las reglas)
Por lo tanto, si se ingresa el valor '*' y se pulsa el botn Delete, se enviar la siguiente peticin GET:
http://www.company.example/fwmgt/delete?rule=*
Causando el consiguiente borrado de todas las reglas del firewall.
Sin embargo, esta no es la nica forma de tener este escenario. El usuario podra haber obtenido
los mismos resultados enviando manualmente la URL:
https://[target]/fwmgt/delete?rule=*
Otra forma es haciendo clic en un enlace que apunte directamente o mediante un desvo, a la URL
anterior. Como tambin, accediendo a una pgina HTML con la etiqueta img insertada apuntando a
la misma URL.
En todos estos casos, si el usuario est autenticado en la aplicacin de gestin de firewall, la peticin
tendr xito y modificar la configuracin del firewall. Es posible imaginar ataques a aplicaciones
sensibles, que hagan apuestas automticas, transferencias de dinero, cambios en la configuracin
de software crtico, etc. Un punto interesante a considerar es que este tipo de vulnerabilidades se
pueden explotar detrs del firewall; por ejemplo, es suficiente que el enlace atacado sea accesible
por la vctima (no directamente por el atacante). En particular, puede tratarse de un servidor web
de la intranet; por ejemplo, la mquina encargada de la gestin del firewall mencionado antes, que
no es probable que est expuesta a internet. No cuesta nada imaginar un ataque CSRF sobre una
aplicacin que est monitoreando una infraestructura crtica, como puede ser una central elctrica.
Puede sonar poco probable, pero es una posibilidad.
Contramedidas/Mitigacin
Las siguientes contramedidas se dividen en recomendaciones para usuarios y recomendaciones
para desarrolladores.
1. Usuarios: dado que las vulnerabilidades CSRF son ampliamente difundidas, se recomienda
seguir buenas prcticas para mitigar el riesgo que implican. Algunas acciones de mitigacin
son:
- Cerrar la sesin inmediatamente despus de utilizar una aplicacin web.
- No permitir al navegador almacenar usuarios/contraseas, y no permitir a las
pginas web recordar la informacin de login.
- No utilizar el mismo navegador para acceder a aplicaciones web sensibles que para
navegar libremente por Internet; si se quiere hacer las dos cosas en la misma
mquina, se recomienda hacerlo en navegadores diferentes.
Los entornos capaces de mostrar pginas HTML al usuario como correo/navegador, lector
de noticias/navegador plantean riesgos dados ya que la simple visin de un mensaje de
correo o de un grupo de noticias podra conducir a la direccin de un ataque.
2. Desarrolladores: aadir informacin relacionada con la sesin de URL. Lo que hace que el
ataque sea posible es el hecho de que la sesin est nicamente identificada por la cookie,
que es enviada de forma automtica por el navegador. Teniendo otra informacin especfica
de la sesin que est siendo generada a nivel de la URL dificulta al atacante conocer la
estructura de URLs a atacar.
Otras contramedidas, aunque no resuelven la situacin, contribuyen a hacer ms difcil su
explotacin.
Utilizar POST en vez de GET. Mientras que las peticiones POST se podran simular mediante
JavaScript, incrementan la complejidad para montar un ataque. Lo mismo ocurre con las
pginas intermedias de confirmacin (como las pginas donde se pide confirmacin al
usuario: Est usted seguro de que quiere hacer esto?). Un atacante las puede evitar,
aunque tendr que hacer su trabajo un poco ms complejo. Por lo tanto, no conviene
confiar solamente en esas medidas para proteger la aplicacin. Por otro lado, los
mecanismos automticos de cierre de sesin de algn modo mitigan la exposicin a estas
vulnerabilidades, aunque en ltima instancia depende del contexto (un usuario que trabaja
todo el da en una aplicacin de banca vulnerable est obviamente ms expuesto al riesgo
que uno que utiliza la misma aplicacin de forma ocasional).
Otra contramedida es confiar en las cabeceras Referer, y permitir slo aquellas peticiones
que parezcan provenir de URLs vlidas. Aunque las cabeceras Referer se pueden falsificar,
proporcionan una proteccin mnima por ejemplo, inhiben ataques va correo electrnico.
Actividad de laboratorio
En Mutillidae determinar el nivel de fortaleza que tienen los tokens CSRF de sesin de la aplicacin
web; nivel de aleatoriedad, largo, complejidad y nivel de entropa efectiva segn los distintos niveles
de seguridad que ofrece la aplicacin utilizando la herramienta Burp Suite.
Actividades
1. Realizar el anlisis requerido sobre tokens CSRF de sesin: nivel de aleatoriedad, largo,
complejidad y nivel de entropa efectiva a partir de distintos niveles de seguridad.
2. Documentar e interpretar los resultados.