Quienes trabajamos en Seguridad Informática tenemos incorporado el término de vulnerabilidad, sin embargo aveces nos cuesta explicar de qué se trata y como se pude evitar.

Vulnerabilidad

Es una debilidad en algún software, hardware o precedimiento que puede permitir a un atacante realizar acciones que, normalmente no tiene permitidas. En general, tiene como raíz la ausencia o la debilidad en uno o más controles.

Tipos de Vulnerabilidades

En la actualidad existen y fueron descubiertas gracias al excelente trabajo de investigación y desarrollo de diferentes Hackers una gran cantidad de vulnerabilidades.

Redes, dispositivos IoT, aplicaciones Webs, Apps y todo aquello que caiga en manos de curiosos puede tener una vulnerabilidad y a lo largo del tiempo fueron más recurrentes

Entre las vulnerabilidades Webs más conocidas que seguramente voy a explicar una a una en detalles se encuentran:

  • Vulnerabilidad del día cero (0-day)
  • Vulnerabilidades de desbordamiento de buffer
  • Vulnerabilidades de Cross Site Scripting (XSS)
  • Stored XSS (inyección de código almacenado)
  • Cross-site request forgery (CSRF)
  • Vulnerabilidades de Inyección SQL
  • Vulnerabilidades de denegación del servicio

Clasificación de Vulnerabilidades

Calificación                                                                         Definición
CríticaVulnerabilidad que puede permitir la propagación de un gusano de Internet sin la acción del usuario.
ImportanteVulnerabilidad que puede poner en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, o bien, la integridad o disponibilidad de los recursos de procesamiento.
ModeradaEl impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías o la dificultad intrínseca en sacar partido a la vulnerabilidad.
BajaVulnerabilidad muy difícil de aprovechar o cuyo impacto es mínimo.

Implementación del entorno Web Vulnerable

Damn Vulnerable Web App (DVWA) es un reconocido entorno de entrenamiento en explotación de seguridad web escrito en PHP y MySQL cuyo objetivo principal es permitir a programadores y técnicos estudiar e investigar sobre las diferentes temáticas involucradas en dicho campo en un entorno completamente legal.

dvwa

Sitio web oficial de DVWA

Puede mantenerse informado sobre el proyecto DVWA a través de su página web oficial http://www.dvwa.co.uk/

Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a legal environment, help web developers better understand the processes of securing web applications and aid teachers/students to teach/learn web application security in a class room environment.

Gracias a su programación deliberadamente vulnerable es posible realizar pruebas sobre los diferentes tipos de ataques web que se pueden llevar a cabo en este tipo de aplicación, y más concretamente sobre páginas web PHP.

DVWA permite el análisis del código vulnerable a los siguientes ataques:

  • Brute Force.
  • Command Execution.
  • CSRF (Cross-Site Request Forgery).
  • File Inclusion (Local File Inclusion y Remote File Inclusion).
  • SQL Injection.
  • SQL Injection (Blind).
  • File Upload.
  • XSS reflected.
  • XSS stored.

Asimismo dispone de tres niveles de seguridad diferentes: low, medium y high (bajo, medio y alto, respectivamente).

Artículos Relacionados


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *