Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Diplomado Diseño y Administración de Base de Datos Módulo 6. Seguridad de Bases de Datos
Elaboró: Francisco Medina López 1
Actividad No. 1.10: Análisis de vulnerabilidades con VEGA en Kali Linux Antecedentes En seguridad informática una vulnerabilidad es una debilidad que puede ser explotada. Vega(Escáner de Vulnerabilidades Web) es una herramienta que nos permite detectar fácilmente vulnerabilidades en aplicaciones Web. Esta herramienta esta desarrollada en el lenguaje de programació Java por lo que funciona perfectamente en sistemas operativos tipo GNU/Linux y Windows. Los módulos que soporta esta herramienta son: Cross Site Scripting (XSS) SQL Injection Directory Traversal URL Injection Error Detection File Uploads Sensitive Data Discovery Kali Linux es una distribución de Linux avanzada para pruebas de penetración y auditorías de seguridad. Es una completa re-‐construcción de BackTrack Linux que se adhiere completamente a los estándares de desarrollo de Debian. Entre sus principales características se encuentran:
• Más de 300 herramientas de pruebas de penetración, • Gratuito y siempre lo será • Amplio apoyo a dispositivos inalámbricos, etc.
Requerimientos Equipo de cómputo con el sistema operativo Kali Linux correctamente configurado para tener acceso a la Internet. Servidor web objetivo cuya dirección IP será proporcionada por el instructor. Para el caso de los ejemplos mostrados en este documento se usará la dirección IP 10.211.55.15 la cual deberá ser reemplazada por la indicada por el instructor.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Diplomado Diseño y Administración de Base de Datos Módulo 6. Seguridad de Bases de Datos
Elaboró: Francisco Medina López 2
Instrucciones
1. Inicia tu equipo de cómputo con el sistema operativo Kali Linux y configura los parámetros de red para tener acceso a la Internet.
2. Abre un navegador web usando el ícono , ubicado en el panel superior del escritorio de Kali Linux.
3. Introduce la dirección IP del servidor objetivo, la cual fue indicada por el instructor.
4. Se mostrara una aplicación web, la cual corresponde a un sencillo blog de
imágenes. Navega en el sitio para familiarizarnos con el.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Diplomado Diseño y Administración de Base de Datos Módulo 6. Seguridad de Bases de Datos
Elaboró: Francisco Medina López 3
5. Ejecuta el escáner de vulnerabilidades web VEGA, dando clic en
Application > Kali Linux > Web Applications > Web Vulnerability Scanner > Vega
6. En el escáner de vulnerabilidades VEGA, da clic en Scan -‐> Start New Scan e
introduce la dirección IP del servidor objetivo y da clic en el botón Finish.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Diplomado Diseño y Administración de Base de Datos Módulo 6. Seguridad de Bases de Datos
Elaboró: Francisco Medina López 4
7. El escáner de vulnerabilidades VEGA iniciará el proceso de identificación de vulnerabilidades.
8. Concluido el análisis, observamos que se identifican varias posibles
vulnerabilidades en el servidor objetivo, entre las que se encuentra Sql Injection.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Diplomado Diseño y Administración de Base de Datos Módulo 6. Seguridad de Bases de Datos
Elaboró: Francisco Medina López 5
9. Inspecciona las alertas (Scan Alerts) dando clic en el ícono hasta mostrar las Alertas indicadas como graves (High).
10. Desplázate hasta ubicar la alerta de SQL Injection y selecciónala. En el panel derecho se mostrará la URL vulnerable que usaremos para realizar el ataque. Anótala en tu cuaderno para usarla en la Actividad No. 1.11: Sql Injection con sqlmap.
11. Cierra el escáner de vulnerabilidades dando clic en el menú File -‐> Exit.
Recommended