Scribd Logo
Upload

Welcome to Scribd!

  • Laboratorio (W3af)

    Uploaded by

    Laurieth Linares Cañas
    72 views11 pages

    Original Title

    Laboratorio (w3af).docx

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    72 views11 pages

    Laboratorio (W3af)

    Uploaded by

    Laurieth Linares Cañas

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 11

    1.1.

    Laboratorio
    Para hacer el proceso del laboratorio primero debemos descargar e instalar la
    herramienta w3af de la siguiente manera:

    1) apt-get update: actualiza la lista de paquetes disponibles y sus


    versiones.

    2) se instalarán los paquetes de Python con el siguiente comando

    3) descargamos la aplicación con el siguiente enlace que se introduce en la


    terminal

    4) entramos a los controles de dependencia de Python


    5) editamos las siguientes dependencias

    Agregamos la siguiente dependencia esmre, 0,3,1

    6) editamos la dependencia de la mac


    7) buscamos la carpeta w3af con el comando ls

    Entramos a la
    carpeta w3af

    o Al ejecutar el comando = ./w3af_console no muestra que debemos


    instalar los siguientes paquetes

    o Se encontró un error en las ediciones de pendencias


    Error de dependencia encontrado

    o Con el siguiente comando entramos a las configuraciones de requerimientos.py

    Los paquetes fueron instalados correctamente

    Al corre el w3af nos muestra


    que falta un paquete

    0Al ejecutar el comando npm install -g retire nos muestra que no se encuentra
    y esto quiere decir que falta la instalación del nodejs que es un entorno en tiempo
    de ejecución multiplataforma, de código abierto, para la capa del servidor basado
    en el lenguaje de programación ECMAScript, asíncrono, con I/O de datos en una
    arquitectura orientada a eventos y basado en el motor V8 de Google.
    8) Descargamos el node.js con el siguiente link en la terminal

    9) Después de haber descargado el node.js procedemos a instalarlo con el


    siguiente comando

    10) Y ahora si procedemos a instalar el paquete que hace falta de la


    aplicación w3af con el siguiente comando
    11) Después de haber instalado el ultimo paquete corremos la aplicación
    con el siguiente comando ./w3af_console

    Vemos que fue instalada correctamente

    12) Con el comando help nos muestras las diferentes opciones que
    podemos realizar con la herramienta w3af
    13) Listar y usar perfiles de escaneo.

    Bruteforce: Controles de forma de fuerza bruta o de autenticación básica que


    utilizan credenciales predeterminadas. Para ejecutar este perfil, establezca la
    URL de destino en el recurso donde se encuentra el control de acceso y luego
    haga clic en Iniciar.
    Audit_high_risk: Realice una exploración para identificar solo las
    vulnerabilidades con mayor riesgo, como Inyección de SQL, Comandos de SO,
    Cargas de archivos inseguras, etc.
    Full_audit: Este perfil realiza una auditoría completa del sitio web de destino,
    utilizando solo el complemento web_spider para el rastreo.
    OWASP_TOP10: El Proyecto de seguridad de aplicaciones web abiertas
    (OWASP) es una comunidad abierta y gratuita en todo el mundo centrada en
    mejorar la seguridad del software de aplicaciones. OWASP buscó y publicó las
    diez fallas de seguridad más comunes. Esta búsqueda de perfil para este top 10
    fallas de seguridad. Para obtener más información sobre las fallas de seguridad:
    http://www.owasp.org/index.php/OWASP_Top_Ten_Project
    Fast_scan: Realice una exploración rápida del sitio de destino, utilizando solo
    unos pocos complementos de descubrimiento y los complementos de auditoría
    más rápidos.
    Empty_profile: Este es un perfil vacío que puede utilizar para iniciar una nueva
    configuración.
    Web_infrastucture: Utilice todas las técnicas disponibles en w3af para tomar
    huellas dactilares de la infraestructura web remota.
    Full_audit_spider_man: Realice un descubrimiento manual con el
    complemento spider_man y luego explore el sitio en busca de vulnerabilidades
    conocidas.
    Sitemap: Utilice diferentes técnicas en línea para crear un mapa del sitio rápido
    de la aplicación web de destino. Este complemento solo funcionará si tienes
    acceso a Internet y la aplicación web de destino está siendo rastreada por Yahoo!
    14) Con el perfil use hacemos el escaneo con el siguiente comando use
    fast_scan

    Los complementos configurados por el perfil de escaneo se han habilitado y


    sus opciones configuradas.
    Configure las URL de destino e inicie el análisis.

    15) Configuramos la URL de destino con la opción target

    16) verificó la página existente


    17) Establecer un valor de parámetro. (set) y ponemos establemos la
    dirección de la pagina de la siguiente forma set target
    www.facebook.com

    18) despues de haber guardado audito la página con le plugins audit


    19) guardamos e iniciamos (start)

    You might also like