INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE CÓMPUTO

Alumno: Herrera Monter Daniel Isaías

Asignatura : Web Security

Profesor:Cifuentes Alvarez Alejandro Sigfrido

Grupo:3cm4

Reporte <1.0>
Instalacion de herramientas para pruebas de
seguridad en aplicaciones web.
Fecha realización: 5/11/2018
Instalación del entorno de pruebas

Un entorno de pruebas es un ambiente en el cual podamos ejecutar, de forma segura y legal, ya

sea una aplicación, desplegar un servidor, un servicio específico (telnet, correo, acceso remoto),
herramienta de propósito específico sin comprometer el funcionamiento del equipo donde este se
encuentre y podamos probar distintos comportamientos. En nuestro caso requerimos un entorno
de pruebas para ejecutar pruebas de seguridad de aplicaciones web y aprender sobre el tema.

Primero que nada para la instalación del entorno de pruebas se requieren instalar las siguientes
herramientas/ programas.

1. Sqlmap: Es una herramienta de prueba de penetración de código abierto que

automatiza el proceso de detección y explotación de fallas de inyección SQL y
toma de control de servidores de bases de datos. Viene con un potente motor de
detección, muchas funciones de nicho para el mejor probador de penetración y
una amplia gama de interruptores. Está escrita en Python (versión 2.7 compatible)
por lo cual también es necesario descargar el intérprete de Python.

Imagen 1. Instalación de Python 2.7

Imagen 2. Página de descarga de sqlmap

2. OWASP ZAP: El Proxy Zed Attack (ZAP) de OWASP es una de las herramientas
de seguridad gratuitas más populares del mundo y es mantenido activamente por
cientos de voluntarios internacionales. Puede ayudarlo a encontrar
automáticamente vulnerabilidades de seguridad en sus aplicaciones web mientras
desarrolla y prueba sus aplicaciones. También es una gran herramienta para
pentesters experimentados para usar en pruebas de seguridad manuales.
Está disponible para distintos sistemas operativos en su versión de 32 y 64 bits, en
mi caso descargue la de 64 bits para Windows.

Imagen 3.Descarga de OWASP ZAP

El procedimiento de instalación es tal cual como lo indica la guía proporcionada por

el profesor de la asignatura “web security”, el cual está disponible en:
https://drive.google.com/open?id=1o7pH0SsNBM8r7u8f75cFFPxt9rWo00al

Imagen 4. Instalación casi completa de la herramienta OWASP ZAP.

Es importante la configuración del navegador que vayamos a usar para que la

herramienta pueda “escuchar” la comunicación a los sitios web, o de lo contrario,
la aplicación no funcionará correctamente. Lo que se hace es indicarle al
 navegador que use un “proxy”, el cual estará como intermediario entre las
solicitudes del navegador y las respuestas recibidas, y podrán ser vistas y
analizadas a través de la herramienta de OWASP.

Imagen 5. Configuración en el navegador Firefox del proxy.

Así mismo el generar mediante la herramienta OWASP ZAP el certificado de

aplicación para que el navegador considere a la aplicación como segura y no trate
de bloquear la lectura de esta.

3. OWASP Broken Web App (BWA): es una colección de aplicaciones web

vulnerables que se distribuye en una máquina virtual ejecutando una variedad de
aplicaciones con vulnerabilidades conocidas para aquellos interesados en:
a. aprender acerca de la seguridad de la aplicación web
b. Técnicas de evaluación de pruebas manuales.
c. herramientas automatizadas de prueba
d. herramientas de análisis de código fuente de prueba
e. observando ataques web
f. Pruebas WAFs y tecnologías de código similares

Primero descargamos los archivos desde la página

https://sourceforge.net/projects/owaspbwa/files/ en formato 7z (Comprimido), una
vez finalizada pasamos a extraerlos en un directorio y abrimos el archivo con
extensión vmx (configuración de la máquina virtual) con el software para máquinas
virtuales de nuestra elección.
 Imagen 6. Página de descarga del archivo comprimido de la máquina virtual.

Imagen 7. Máquina virtual BWA arrancando en VMWare.

Una vez que se encuentre totalmente cargada la máquina virtual, nos aparecerá
texto en consola el cual nos dirá la dirección URL a través de la cual podemos
acceder mediante el navegador al sitio web donde podremos probar las
vulnerabilidades, y las credenciales para acceder a administrar el equipo.
 Imagen 8. BWA ya cargada.

Cuando tratemos de acceder a ella desde el navegador, primero nos mandara un

mensaje de seguridad pues está detectando que el sitio es inseguro, procedemos a
dar clic en “avanzado” y añadirlo como una excepción de seguridad. Una vez
realizado esto podremos acceder al sitio y navegar como en cualquier otro.

Imagen 8. Primer acceso el sitio web con notificación de ser inseguro.

 Imagen 9. Añadimos como excepción de seguridad para poder navegar.

Imagen 10. Página solicitada cargada correctamente.

Una vez Instaladas las tres herramientas antes mencionadas, podemos comenzar a correr las
pruebas que queramos sobre el sitio. Esto con el fin de conocer mejor nuestras herramientas y
prepararnos para una situación real.