Simulaciones para dos tipos de vulneribilidades A03:Cross-Site Scripting (XSS) y A04: Insecure Direct Object References (IDOR) del OWASP Top Ten.

El presente taller tiene como finalidad proporcionar una comprensión práctica y teórica sobre la realización de pruebas de penetración en un entorno organizacional. A través de ejercicios prácticos y el uso de herramientas especializadas, se busca fortalecer las habilidades necesarias para identificar, evaluar y mitigar vulnerabilidades de seguridad.

La Open Web Application Security Project (OWASP) es una organización sin fines de lucro dedicada a mejorar la seguridad del software. OWASP proporciona recursos, metodologías y herramientas para evaluar y mitigar riesgos en aplicaciones web, siendo una referencia esencial en la ciberseguridad.

Uno de sus principales aportes es el OWASP Top Ten, una lista de las diez vulnerabilidades de seguridad más críticas en aplicaciones web, que incluye problemas como:

Inyección de código (SQL, NoSQL, OS, LDAP, etc.)

Autenticación rota

Exposición de datos sensibles

Entidades externas XML (XXE)

Control de acceso defectuoso

Configuraciones de seguridad incorrectas

Cross-Site Scripting (XSS)

Deserialización insegura

Uso de componentes con vulnerabilidades conocidas

Monitoreo y registro insuficiente

Las metodologías y herramientas de OWASP, como OWASP ZAP, permiten a los profesionales de seguridad identificar y mitigar estas vulnerabilidades de manera efectiva en entornos organizacionales.

Desarrollo. En este taller se documentan las simulaciones para dos tipos de vulneribilidades A03:Cross-Site Scripting (XSS) y A04: Insecure Direct Object References (IDOR) del OWASP Top Ten.

Simulacion 1. A03:Cross-Site Scripting (XSS)

El XSS Reflejado (Cross-Site Scripting - Reflected) ocurre cuando una aplicación devuelve datos ingresados por el usuario sin sanitizarlos, lo que permite ejecutar código malicioso en el navegador de la víctima.

XSS - Reflected (GET).

Prueba de XSS Reflejado (GET)

Iniciamos sesión en http://localhost/bwapp con: Usuario: bee  Contraseña: bug


En el menú, se selecciona: "Cross-Site Scripting (XSS) - Reflected (GET)".

Aparecerá un campo para ingresar un First name y un botón de Go.

 

Ingresamos cualquier nombre y  <script>alert('XSS')</script> en cualquier campo devuelve el siguiente mensaje:

 

bWAPP muestra el mensaje alert('XSS'), significa que la aplicación es vulnerable.

 Simulación XSS - Reflected (POST).


Prueba de XSS Reflejado (POST) Iniciamos sesión en http://localhost/bwapp con: Usuario: bee Contraseña: bug



 En el menú, se selecciona: "Cross-Site Scripting (XSS) - Reflected (POST)".



 

Aparecerá un campo para ingresar un First name y un botón de Go. Modificamos los valores Firt name : <script>alert('XSS')</script> y Last name: Rony.

Se ejecuta el script y muestra la siguiente ventana:

 

bWAPP muestra el mensaje alert('XSS'), significa que la aplicación es vulnerable.

Simulacion 2 A04: Insecure Direct Object References (IDOR).

El ataque IDOR (Insecure Direct Object References) ocurre cuando un atacante puede acceder a recursos o datos de otros usuarios simplemente manipulando parámetros en la URL o en el cuerpo de una solicitud. Esto sucede cuando una aplicación usa identificadores predecibles (IDs, nombres de archivos, etc.) sin verificar los permisos de acceso.

Insecure DOR (Change Secret)

Podemos hacer una captura de la solicitud para verificar algún IDOR, capturando la solicitud con burp Suite de la siguiente manera:

En la imagen anterior vemos que el nuevo secret contiene la frase ID01, ayudándonos de la captura con burp site podemos cambia su valor por otro usuario (por ejemplo, ID02) y modificar los recursos del su usuario, si el ataque tuvo éxito, habrás cambiado el secret de otro usuario sin su autorización.

El siguiente ejemplo muestra como una pagina web de compra de ticket puede ser vulnerada, en la simulación se muestra una compra de 10 ticket.



 Con la ayuda de la herramienta burp suite captamos la solicitud como lo vemos a continuación.

 

En la imagen podemos ver la siguiente línea que muestra el precio, lo cual puede usarse en una solicitud para cambiar su costo:

ticket_quantity=10&ticket_price=15&action=order

Conclusiones.

La simulación de pruebas de penetración en una organización es una estrategia esencial para evaluar y fortalecer la seguridad de los sistemas informáticos. A través de este taller, los participantes adquirieron conocimientos prácticos sobre metodologías, herramientas y vulnerabilidades críticas presentes en aplicaciones web.

El análisis de vulnerabilidades como Cross-Site Scripting (XSS) e Insecure Direct Object References (IDOR) permitió comprender cómo los atacantes pueden explotar fallos de seguridad y cómo mitigar estos riesgos mediante controles adecuados.

Además, se enfatizó la importancia de la ciberseguridad dentro de las organizaciones, promoviendo la necesidad de auditorías periódicas y la implementación de mejores prácticas para la protección de la información. La aplicación de estos conocimientos contribuirá a reducir la exposición a ataques y fortalecer la postura de seguridad en entornos corporativos.

Este taller reafirma la importancia de la seguridad ofensiva como una herramienta clave en la protección de activos digitales, proporcionando a los participantes habilidades fundamentales para identificar y mitigar riesgos en sus organizaciones.



Comentarios

Publicar un comentario

Entradas populares de este blog

Implementación del Modelo AAA

Imagen
Servicios de autenticación. Servicios de autenticación: Local, LDAP, Kerberos. En cuanto a los servicios de autenticación, existen diversos enfoques. La autenticación local es el método más básico y consiste en almacenar las credenciales directamente en el sistema que las valida, como ocurre en los archivos /etc/shadow de Linux o la base de datos SAM en Windows. Este método es sencillo y no requiere infraestructura adicional, pero no es escalable en entornos con muchos equipos y dificulta la gestión centralizada de usuarios .   Ilustración 1 . Proceso de autenticación local, donde el usuario valida sus credenciales contra el archivo de contraseñas almacenado en el sistema operativo (/etc/shadow en Linux o SAM en Windows). Para escenarios más complejos, se utiliza LDAP (Lightweight Directory Access Protocol), un protocolo abierto que permite acceder y administrar servicios de directorio. A través de un servidor LDAP (como OpenLDAP, 389 Directory Server o Active Directory...
Leer más

Representación de la Cadena de Custodia y DFD según ISO/IEC 27037

Imagen
  INTRODUCCIÓN La cadena de custodia con base en la ISO/IEC 27037 es un concepto crucial en la gestión de evidencia digital, especialmente en el contexto de incidentes relacionados con delitos cibernéticos, investigaciones forenses y procedimientos judiciales. En el mundo actual los delitos cibernéticos, como el robo de datos, el fraude en línea, el acceso no autorizado a sistemas y el sabotaje informático, se han vuelto cada vez más comunes, lo que ha incrementado la necesidad de métodos eficientes y seguros para manejar la evidencia digital. La cadena de custodia en este ámbito tiene como objetivo principal preservar la integridad de los datos y garantizar que no hayan sido alterados, contaminados o manipulados de ninguna forma a lo largo de su proceso de recolección, análisis y presentación. El manejo adecuado de la evidencia digital requiere un enfoque minucioso debido a las características específicas de los datos cibernéticos, como su volatilidad, la facilidad de modificación...
Leer más