La Comunidad DragonJAR » Web

Aplicaciones Web Vulnerables

DragoN — Mon, 24 Oct 2011 08:43:49 +0000

Aplicaciones Web Vulnerables, la práctica hace el maestro, pero en el campo de la seguridad informática, si practicamos en aplicaciones o servidores de terceros, podemos llegar a tener problemas con la ley; Por este motivo existen herramientas como Damn Vulnerable Web App, una aplicación web vulnerable que permite poner a prueba nuestros conocimientos sobre seguridad web, pero DVWA no es la única aplicación de este tipo que existe, a continuación les dejo un listado con algunas de las aplicaciones web vulnerables:

WebGoat es una aplicación web J2EE deliberadamente insegura, mantenida por OWASP y diseñada para enseñar lecciones de seguridad en aplicaciones Web. puedes aprender más sobre esta herramienta en nuestro laboratorio.

Moth es una imagen de VMware que contiene un conjunto de aplicaciones Web y scripts vulnerables, que puedes utilizar para probar scanners de seguridad en aplicaciones Web, herramientas de análisis de código estático (SCA), dar cursos introductorios de seguridad en aplicaciones Web. puedes encontrar mas información sobre esta herramienta en nuestra comunidad.

BadStore es una aplicación web para tienda virtual, que incluye de manera intencionada diferentes fallos de seguridad informática, para probar nuestros conocimientos y herramientas sobre ella.

WebMaven es un entorno interactivo de seguridad web, que emula varios de los más comunes fallos en las aplicaciones web.

SecuriBench es una aplicación escrita en java en la universidad de Stanford, que incluye las siguientes vulnerabilidades SQL injection attacks, Cross-site scripting attacks, HTTP splitting attacks, Path traversal attacks, para practicar con ellas.

Mutillidae es un conjunto de scripts vulnerables escritos en php, a diferencia de otras aplicaciones de su tipo, multilliadae se diferencia por la simplicidad de su código, enfocado en las personas que apenas empiezan a desarrollar aplicaciones web.

SERIE HACME, la serie Hacme es un conjunto de aplicaciones web temáticas escritas por Foundstone, que tienen en su código de forma deliberada, multitud de vulnerabilidades web, para que practiquemos nuestros conocimientos sobre seguridad web, dentro de esta serie tenemos un aplicativo web de un casino Hacme Casino (del cual hablamos en la ezine 2 de nuestra comunidad), una aplicación web de compras Hacme Shipping , un sistema de viajes Hacme Travel y una aplicación web que simula ser un banco Hacme Bank.

Actualizado 18/01/2010 : Agrego WebMaven , SecuriBench, y BadStore, gracias al comentario de colliers por contribuir a nuestro listado de Aplicaciones Web Vulnerables

Actualizado 23/10/2011: Agrego un excelente listado encontrado en taddong.com de Aplicaciones Web Vulnerables

Aplicaciones Web Vulnerables Offline

El siguiente listado de Aplicaciones Web Vulnerables que pueden ser instaladas en el sistema operativo (Linux, Windows, Mac OS X, etc) usando plataformas web (Apache/PHP, Tomcat/Java, IIS/.NET, etc) para que practiquemos técnicas de auditoria web, sin correr el riesgo de terminar en la carcel.

The BodgeIt Store (Java): http://code.google.com/p/bodgeit/ (download)
The ButterFly Security Project (PHP): http://sourceforge.net/projects/thebutterflytmp/ (download)
Damn Vulnerable Web Application – DVWA (PHP): http://www.dvwa.co.uk (download)
OWASP Hackademic Challenges Project (PHP): https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project (download)
Google Gruyere (Python): http://google-gruyere.appspot.com (download)
Hacme Books (Java): http://www.mcafee.com/us/downloads/free-tools/hacmebooks.aspx (download)
Hacme Casino (Ruby on Rails): http://www.mcafee.com/us/downloads/free-tools/hacme-casino.aspx(download)
OWASP Insecure Web App Project (Java): https://www.owasp.org/index.php/Category:OWASP_Insecure_Web_App_Project (download -orphaned)
OWASP .NET Goat (C#): https://owasp.codeplex.com (download)
Peruggia (PHP): http://peruggia.sourceforge.net (download)
Puzzlemall (Java): https://code.google.com/p/puzzlemall/ (download) (docs)
OWASP Vicnum Project (Perl & PHP): https://www.owasp.org/index.php/Category:OWASP_Vicnum_Project (download)
VulnApp (.NET): http://www.nth-dimension.org.uk/blog.php?id=88 (CVS download & vulns)
WackoPicko (PHP): https://github.com/adamdoupe/WackoPicko (download) (whitepaper)
OWASP ZAP WAVE – Web Application Vulnerability Examples (Java): http://code.google.com/p/zaproxy/downloads/list
Wavsep – Web Application Vulnerability Scanner Evaluation Project (Java): https://code.google.com/p/wavsep/ (download) (docs)
OWASP BWA – Broken Web Applications Project (VMware – list): https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project (download)
Exploit.co.il Vuln Web App (VMware): http://exploit.co.il/projects/vuln-web-app/ (download)
Hackxor (VMware): http://hackxor.sourceforge.net/cgi-bin/index.pl (download) (hints&tips)
LAMPSecurity (VMware): http://sourceforge.net/projects/lampsecurity/ (download) (doc)
Metasploitable (VMware): http://blog.metasploit.com/2010/05/introducing-metasploitable.html(download – torrent) (doc)
Samurai WTF (ISO – list): http://www.samurai-wtf.org (download)
Sauron (Quemu) [Spanish]: http://sg6-labs.blogspot.com/2007/12/secgame-1-sauron.html (solutions)
UltimateLAMP (VMware – list): http://ronaldbradford.com/blog/ultimatelamp-2006-05-19/ (download)
Web Security Dojo (VMware, VirtualBox – list): http://www.mavensecurity.com/web_security_dojo/(download)

Aplicaciones Web Vulnerables Online

El siguiente listado de Aplicaciones Web Vulnerables pueden ser accedidas desde internet y utilizadas como plataforma de aprendizaje en auditorias web, sin cometer ningun delito.

ACUNETIX:

http://testasp.vulnweb.com (Forum – ASP)
http://testaspnet.vulnweb.com (Blog – .NET)
http://testphp.vulnweb.com (Art shopping – PHP)

Cenzic CrackMeBank: http://crackme.cenzic.com
Google Gruyere (Python): http://google-gruyere.appspot.com/start
HackThisSite (HTS – Basic & Realistic (web) Missions): http://www.hackthissite.org
HP/SpiDynamics Free Bank Online: http://zero.webappsecurity.com (admin/admin)
IBM/Watchfire AltoroMutual: http://demo.testfire.net (jsmith/Demo1234)
NTOSpider Web Scanner Test Site: http://www.webscantest.com (testuser/testpass)
OWASP Hackademic Challenges Project – Live (PHP – Joomla): http://hackademic1.teilar.gr

Si conoces alguna otra aplicación para añadir a nuestro listado de Aplicaciones Web Vulnerables ya sea online u offline, déjala en los comentarios para añadirla a este completo listado

También puede interesarte...

Presentación de conceptos básicos en Seguridad Web

DragoN — Fri, 18 Feb 2011 05:14:43 +0000

Marcos García, miembro de nuestra comunidad ha querido compartir con nosotros la siguiente presentación, que referencia a los ataques más comunes sobre las aplicaciones Web. La idea principal es concientizar a los desarrolladores/administradores, para que tengan en cuenta a qué amenazas y riesgos de seguridad están expuestas sus aplicaciones.

Es importante señalar que existen más ataques, los cuales no figuran en la presentación.

Descargar documentación

También podremos ver ejemplos prácticos de todas las técnicas mencionadas en los siguientes vídeos.

XSS

CSRF

Path Traversal

Null Byte

OS Commanding

Local File Inclusion

Remote File Inclusion

Information Disclosure

SQL Injection/Blind SQL Injection

File Upload

Agradecimientos especiales a Marcos García por compartir esta información con nosotros.

También puede interesarte...

Cupos disponibles en el SENA

DragoN — Mon, 03 Jan 2011 04:33:50 +0000

Si uno de tus propósitos para este años es estudiar alguna carrera técnica, es el momento adecuado, ya que el SENA (Servicio Nacional de Aprendizaje), en su página www.senavirtual.edu.co o su plataforma sena sofia plus abrió sus puertas este año ofreciendo mas de 10 millones de cupos para estudiar alguno de sus programas.

La oferta de los programas del Sena varía de acuerdo con cada centro de formación. La idea de la institución es atender los sectores básicos de clase mundial: agro; turismo de salud; software y tecnologías de la información; tercerización de procesos de negocios Bpo & kpo; industria de la comunicación gráfica; energía eléctrica, bienes y servicios conexos; cosméticos y artículos de aseo; textiles, confecciones, diseño y moda; y autopartes.

Ademas de incorporar este año algunos programas novedosos de la última convocatoria fueron los PLM ( Product life cycle management ): gestión del ciclo de vida del producto; biocomercio sostenible; bioinformática en la producción animal; y desarrollo de aplicaciones para dispositivos móviles, entre otros.

Recordemos que al terminar los cursos en el sena virtual te dan un certificado del sena y entras automáticamente en la bolsa de empleo del SENA donde podrás ser llamado para trabajar en prestigiosas empresas del sector tecnológico del país, por lo que no puedes dejar pasar esta oportunidad de capacitarte con el SENA.

Para conocer un poco mas de los cursos ofertados por el SENA, ingresa en este enlace.

También puede interesarte...

X5S – Encuentra fallos XSS, LFI y RFI fácilmente

DragoN — Thu, 19 Aug 2010 20:20:58 +0000

X5S es una herramienta desarrollada por la empresa de seguridad Casaba, con la finalidad de ayudar a los desarrolladores web a encontrar vulnerabilidades o problemas de seguridad en sus aplicaciones.

Con X5S tendremos a la mando una cantidad de utilidades que nos permitirán agilizar el proceso de detección y manipulación de parámetros mal filtrados, causantes de la mayoría de problemas en las aplicaciones web, también nos permite automatizar pruebas para verificar si los campos de entrada o parámetros de nuestra aplicación son vulnerables a fallos como XSS,LFI, RFI.

Aunque X5S es una herramienta gratuita y de código abierto, desafortunadamente solo esta disponible para entornos Windows, pero si eres desarrollador web y te preocupa la seguridad de tus creaciones, no dudes en bajar testar tu código con ella.

Descargar X5S

Mas Información:
Pagina Oficial de X5S
Documentación de X5S

También puede interesarte...

¿Como implementar la seguridad en la Nube?

DragoN — Sun, 25 Jul 2010 20:26:39 +0000

Hace poco IBM saco una linea de documentos llamados Redbooks, los cuales son documentos de libre acceso que contienen información técnica sobre productos, plataformas y soluciones desarrolladas y publicadas por IBM.

Como parte de esta iniciativa IBM se publico el documento “Cloud Security Guidance”, una guía con recomendaciones sobre como implementar la seguridad en la Cloud Computing y aunque continuamente hacer referencia a productos IBM, no dejan de ser una buena guía para el manejo de la seguridad sin importar que plataforma se utilice.

El contenido de este documento esta dividido en los siguientes capítulos:

Introducción al Cloud Computing.
La Seguridad del Cloud: el gran desafío.
Evaluando diferentes modelos de Cloud Computing.
Examinando el Framework de Seguridad de IBM.
Guía para implementar un Cloud seguro.

Los dejo con la guía de IBM sobre seguridad en la Nube:

Pero no solo IBM esta preocupada por estos temas, el ultimo numero de la revista Hakin9 también habla de la seguridad en la nube, tocando temas como el malware en la web, la ingeniería inversa en ffash y .net, seguridad en los motores de búsqueda y otros temas relacionados.

Actualizado: La reciente adquisición de Oracle, SUN Microsystems también publicó un paper sobre como crear confianza en los clientes respecto a la computación en la nube, y plantean la seguridad transparente como soluciona…

También puede interesarte...

¿Cómo se realiza un Pentest?

DragoN — Mon, 19 Jul 2010 20:14:16 +0000

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración.

Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, de la que hemos hablado ya varias veces en nuestra comunidad, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest.

Para terminar, les dejo las diapositivas utilizadas por Alejandro Ramos de SbD, para dictar su charla sobre Pentest en el Curso de Verano sobre Seguridad Informática que realizó hace poco en Valencia, España; Me gustaron mucho por que logró resumir en estos slides, todo el proceso que se lleva a cabo durante un pentest, de forma bastante gráfica y fácil de entender.

Espero que con esta documentación que les dejo, tengan mas claro como se lleva a cabo un Test de Penetración.

También puede interesarte...

TOP 7 Riesgos de la Seguridad en la Nube

DragoN — Sat, 12 Jun 2010 04:51:48 +0000

Siempre que se habla de la computación en la nube o Cloud Computing, se resaltan sus beneficios, como el bajo costo, la escalabilidad, alta disponibilidad y en general las ventajas que ofrece este sistema frente a sistemas convencionales, nos hablan también de las grandes compañías que han migrado a estos sistemas y que ademas ofrecen este tipo de servicios, como Amazon y Google.

Pero la computación en la nube no es perfecta y como todo sistema informático, también tiene riesgos de seguridad; En esta ocasión les traigo un documento escrito por la Cloud Security Alliance cuyo propósito es mostrar las principales amenazas de la computación en la nube y proporcionar el contexto necesario para ayudar a las organizaciones en la toma de decisiones sobre adopción de tecnologías en la nube.

Este documento será actualizado regularmente para reflejar el consenso de expertos sobre las amenazas probables que pueda afectar a la computación en la nube y sus implementaciones.

Descarga el documento Top Riesgos de Seguridad en la Nube

Mas Información:
Top Threats to Cloud Computing

También puede interesarte...

Nueva Imagen de Nuestra Comunidad

DragoN — Mon, 31 May 2010 08:46:20 +0000

Como ya habrán notado, nuestra comunidad ha experimentado un agradable y refrescante cambio visual en su imagen y pagina web, nuestro propósito es mantener la innovación para que nuestros lectores se sientan a gusto e identificados con nuestro portal. veamos un poco mas en detalle los cambios.

Logo

La comunidad desde su creación ha tenido diferentes logotipos, que han sido creados por los mismos usuarios y su momento fueron buenos. Pero nuestra comunidad ha evolucionado con el paso del tiempo y ha crecido al punto de volverse un referente en cuanto a seguridad informática en la red.

Este nuevo logotipo, pretende reflejar estos cambios e identificar nuestra comunidad de ahora en adelante, con un logo muy bien pensado, autentico y sobre todo ÚNICO.

Invitamos a los diseñadores de la comunidad a crear nuevas imágenes para nuestros usuarios (UserBars, Wallpapers, Avatares, Firmas, etc…), con base en el nuevo logotipo. Les dejo el archivo original en Photoshop para que realicen estas nuevas creaciones.

Para que se hagan una idea de lo que pueden crear, les dejo este wallpaper que he adaptado para incorporar el logo de nuestra comunidad y un espacio en el foro especialmente para organizar los aportes enviados por todos ustedes.

Diseño

El nuevo diseño es mucho mas moderno, tiene un un enfoque mas social y pretende resaltar espacios importantes de la comunidad, como los foros, laboratorios y el canal irc. La integración con las redes sociales, resulta crucial a la hora recibir una retroalimentacion de los contenidos ofrecidos por la comunidad, ayudando también a la difusión de los mismos.

Espero que disfruten este nuevo diseño y contribuyas a nuestra comunidad realizando comentarios, uniéndote a las redes o aportando imágenes para que nuestra comunidad siga creciendo aun mas.

También puede interesarte...

Curso sobre desarrollo seguro de aplicaciones web por Google

DragoN — Thu, 06 May 2010 15:43:34 +0000

Google acaba de lanzar un nuevo curso en línea para el diseño y desarrollo de aplicaciones Web, con este, que los programadores aprenderán a evitar los errores comunes de seguridad que se presentan en las aplicaciones web y que pueden llevar a la creación de vulnerabilidades en sus sitios.

El curso, que es parte del proyecto Google Code University, se basa en el concepto de aplicaciones de tipo Twitter, denominada Jarlsberg, un programa que Google liberó para este fin. Conocido como “Web Application Exploits and Defenses,” desde el cual se da la oportunidad de visualizar el funcionamiento interno de una aplicación insegura, analizar las vulnerabilidades y aprender de los errores de programación que generaron estas fallas.

Ademas de aprender desarrollo, también tendremos una serie de retos que requieren que los estudiantes se esfuercen e identifiquen vulnerabilidades especificas en el código de Jarlsberg. Después de que los estudiantes aprenden los fundamentos de una vulnerabilidad, como CSRF, XSS, se les pide que encuentren una forma de utilizar esta falla para realizar una acción maliciosas especifica en la aplicación, como cambiar algunos detalles en la cuenta de registro de los usuarios sin que ellos se enteren.

Ingresa al Curso de Google sobre Seguridad Web

Más Información:
Anuncio de Hans en la Comunidad

También puede interesarte...

10 Consejos para proteger los Niños en Internet

DragoN — Tue, 20 Apr 2010 16:09:13 +0000

Abril es el Mes de los niños y es por eso que debemos fortalecer nuestros esfuerzos constantes para evitar los peligros que corren los menores a la hora de navegar por la Web.

Los niños de hoy son fuertes usuarios de Internet y son extremadamente hábiles cuando se trata de usar un ordenador. Es por esta razón que los padres y los profesores deben ser conscientes de los peligros que puede conllevar la mala utilización de la Red -depredadores en línea, ciber-matones, timadores e incluso compañeros, entre otros- y deben hablar con sus hijos / alumnos acerca de cómo evitar esos problemas en el caso de que se den.
La buena comunicación es la clave para la seguridad online. Los padres y los maestros deben convertirse en aliados y discutir abiertamente los diversos aspectos relativos a la seguridad con los menores, ya que estos pasan mucho tiempo en la Red tanto en casa como en la escuela.

A continuacion les ofrecemos algunos puntos propuestos por BitDefender, que los padres y profesores pueden tener en cuenta a la hora de supervisar la seguridad de los más jóvenes en la Red y que posteriormente pueden utilizar para entablar con ellos un diálogo sobre navegación segura:

Los programas y módulos de Control Parental son una parte importante para mantener la seguridad en línea de los más pequeños. Padres y profesores deben entender cómo funcionan estos servicios para, así, poder proteger a toda la familia de los peligros Web. Sobre todo, deben evitar que los niños se sientan “espiados”.
El ordenador debe ser colocado en un área común, en la que un adulto puede “echar un ojo” al monitor de vez en cuando; por ejemplo, en la sala de estar.
Cuando los menores se creen una cuenta en redes sociales como Facebook ®, los padres o profesores deben estudiar el grado de privacidad de cada sitio y compilar listas de personas de confianza con las cuales los niños puedan comunicarse sin problema.
Hay que ser muy conscientes del peligro que puede conllevar que los menores queden físicamente con personas que han conocido a través de estas redes, y si es necesario, un padre o un profesor deben acompañarlos por motivos de seguridad.
Hay que enseñar a los niños a poner fin a conversaciones que les incomoden. Si alguien en la web – incluso un amigo – los hacen sentir temor, confusión, ofendidos o amenazados, asegúrese de que sepan encontrar un adulto con quien hablar sobre el tema, y finalizar la conversación a tiempo.
Se debe ayudar a los niños a identificar correos electrónicos que contengan spam o con contenido inapropiado y asegurarse de que sepan abstenerse de abrir y reenviar este tipo de mensajes.
Los padres o los maestros deben buscar, con cierta regularidad, el nombre de sus protegidos en los motores de búsqueda para ver la información que aparece sobre ellos en blogs, comunidades en las que estén activos, etc.
Conozca la jerga de los chat, como acrónimos, emoticonos, etc., para saber exactamente de qué están hablando con los niños en la Red.
Durante las actividades que requieran el uso de Internet en clase, los estudiantes deben ser supervisados de cerca.
Y, por último, hacer entender a los estudiantes y los niños que no todo lo que ven o escuchan en Internet es verdad. Los desconocidos pueden dar con mucha facilidad Información falsa sobre sí mismos, con el fin de atraer la atención de los más pequeños de la casa.

Algunos filtros para proteger a nuestros niños en la red, ya los hemos tratado en la comunidad, pero aplicar estos 10 consejos son una base fundamental, para evitarles cualquier peligro a esta población tan indefensa en Internet.

Mas Información:
Pagina Oficial de BitDefender