Bueno, aquí estamos otra vez para continuar trasteando con máquinas virtuales con el fin de aprender conceptos de seguridad informática, en este caso seguridad en aplicaciones web.
Existen multitud de fuentes para obtener material con el que practicar distintas técnicas que van desde la sql injection hasta ataques de cross site scripting, pasando por ataques cross site request forgery...
Primero voy a comentaros mi opinión acerca de las que he probado y luego pondré unos enlaces interesantes.
Damn Vulnerable Web App
Contiene distintos scripts en php para realizar distintos ataques, XSS, SQLi, bruteforce, RCE, LFI, etc
Lo que más me gusta de DVWA es la posibilidad de utilizar PHPIDS a la hora de probar ataques para ver el log y demás junto con el hecho de tener tres niveles de seguridad de cada prueba, cada nivel utiliza una función o filtro distinto con el fin de aprender a saltar los filtros más comunes.
También es muy útil el botón para que se nos muestre el código de la aplicación con el fin de pensar cómo atacarlo basándonos en su funcionamiento.
Mutillidae
Mutillidae es un conjunto de scripts que tienen como fin enseñar y aleccionar sobre las vulnerabilidades del TOP10 de OWASP, está bastante interesante para probar todo el abanico del TOP10, pudiendo obtener consejos en todo momento.
Moth
Moth es una máquina virtual pensada también para realizar ataques a aplicaciones web, con la diferencia que es una recopilación de aplicaciones web que podemos encontrarnos en múltiples sitios y la posibilidad también de atacarlas directamente, mediante mod-security y mediante phpids.
Gruyere
Gruyere es la aplicación creada por Google y que antes se llamaba Jarlsberg. Tiene un manual online en el que viene todo muy bien explicado para poder realizar todas las pruebas y aprender a evitar dichos errores de programación.
Aparte existen webs online de fabricantes para probar herramientas (quizá os sea útil si queréis probar algún script propio o similar), la serie hackme de Foundstone, múltiples aplicaciones de OWASP y algunas más.
Os dejo a continuación dos post de securitybydefault donde encontraréis el resto de aplicaciones para montaros vuestro banco de pruebas.
Un saludo a todos :)
No hay comentarios:
Publicar un comentario