Professional Documents
Culture Documents
como fue el caso de Heartbleed. Sin embargo tambin siguen vigentes muchas
vulnerabilidades clsicas de hace algunos aos como Cross Site Scripting (XSS) o
inyecciones SQL, que terminan por afectar la seguridad y confidencialidad de los usuarios.
En este post veremos cmo configurar un laboratorio de pruebas para auditoras web, donde
se encontrarn las vulnerabilidades ms habituales con diferentes niveles de dificultad, para
comprender cmo funcionan.
Uno de los laboratorios disponibles es Damn Vulnerabilty Web Aplication (DVWA), que
usaremos para esta prctica. Una vez descargado se debe descomprimir y mover al
directorio del servidor web.
Aqu pueden apreciarse todos los archivos de la aplicacin, los cuales son necesarios para
el correcto funcionamiento del laboratorio. Una vez realizado el traslado del directorio de la
aplicacin, debemos otorgarle permisos, y para hacerlo vamos a recurrir al comando
chown.
Aqu ya se ha movido el directorio a la carpeta del servidor donde permitir acceder una
vez iniciado Apache2 y se le han otorgado los permisos para que pueda funcionar
correctamente. En primer lugar se debe iniciar la base de datos MySQL, lo cual se logra de
la siguiente manera:
Ahora debemos crear la base de datos (en este caso MySQL) para que la aplicacin pueda
conectarse y permita el inicio de sesin de los usuarios; para hacerlo basta con escribir el
comando mysql (valido solo para modo local) en una terminal de comandos. En caso que la
base de datos se encuentre en un servidor remoto, el comando a ejecutar es mysql h
[servidor] u [usuario] p [para que solicite contrasea de acceso].
Veamos el ejemplo:
Ahora que el servicio MySQL ya se encuentra funcionando correctamente, solo resta iniciar
la instancia del servidor web Apache2. Para hacerlo es similar al caso de MySQL, solo que
se cambia el nombre a Apache2:
Usuario: admin
Contrasea: password
De esta forma, se pueden probar las diferentes vulnerabilidades que posee la aplicacin en
sus diferentes niveles. Este tipo de plataformas educativas tienen como finalidad ayudar a
comprender cmo funcionan algunas de las ms conocidas, permitiendo obtener el
conocimiento necesario para detectar proactivamente estas fallas en sitios propios, y
corregirlas antes de que sean explotadas por atacantes.
Estos conocimientos sern muy tiles a la hora de montar sitios web propios y revisar al
menos las vulnerabilidades bsicas, permitiendo realizar las correcciones
correspondientes en tiempo y forma.
Vale la pena remarcar que esta plataforma fue montada localmente en una computadora
propia, lo que significa que no requiere ningn tipo de conectividad a Internet para poder
acceder. Es importante destacar que no ser infringida la ley, ya que es un entorno de
pruebas especialmente diseado para este tipo de auditoras.