owasp-a6 open web application security project. riesgo por: configuración defectuosa de seguridad...
TRANSCRIPT
![Page 1: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/1.jpg)
OWASP-A6Open Web Application Security Project
.
Riesgo por:Configuración Defectuosa de Seguridad
Alejandro Sarabia ArangoEstudiante: Administrador de Redes
![Page 2: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/2.jpg)
OWASPUn estándar para la realización de verificaciones
de nivel de aplicación de seguridad
Es un proyecto de aplicación de código abierto de seguridad.
![Page 3: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/3.jpg)
En la Maquina Virtual de BadStore Miramos la IP
de la Pagina
![Page 4: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/4.jpg)
Se ingresa la IP de la pagina
![Page 5: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/5.jpg)
Se Ingresa a la Pagina con esta secuencia ‘or1=1 limit 1,1 -- a esto es una condición verdadera
![Page 6: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/6.jpg)
Se ingresa la condición verdadera en ambos campos
![Page 7: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/7.jpg)
Luego Ingresamos como administrador de la cuenta
![Page 8: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/8.jpg)
Ingresamos al Menú Administrativo por el action=admin
![Page 9: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/9.jpg)
Ingresamos al Informe de Ventas
SE OBTIENE TODA LA INFORMACIÓNDETALLADA DE LA EMPRESA
![Page 10: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/10.jpg)
Agregamos UsuariosPodemos Agregar, Eliminar y Obtener toda la Base de Datos de Información de los Usuarios
![Page 11: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/11.jpg)
Ver Todos los Usuarios Listado de Usuarios Con Contraseñas
![Page 12: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/12.jpg)
COMO DESIFRAMOS LAS CLAVES
http://md5.rednoize.com/
Seleccionamos la clave en md5 del Proveedor
Nos vamos para el MD5 y desciframos la clave
![Page 13: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/13.jpg)
Ingresamos como Proveedor
Ingresamos el correo del Proveedor y la Clave que Desciframos
![Page 14: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/14.jpg)
Se descubre la Información personal en Backup http://192.168.100.128/backup/
![Page 15: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/15.jpg)
Se descubre las imágenes personales de la pagina http://192.168.100.128/images/
![Page 16: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/16.jpg)
Se descubre los Procedimientos de los Proveedoreshttp://192.168.100.128/Procedimientos/
![Page 17: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/17.jpg)
Se descubre los Procedimientos de los Negocioshttp://192.168.100.128/Negocios/
![Page 18: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/18.jpg)
Ingresamos al Libro de visitas http://192.168.100.128/cgi-bin/badstore.cgi?action=doguestbook
![Page 19: OWASP-A6 Open Web Application Security Project. Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de](https://reader036.vdocuments.site/reader036/viewer/2022062315/5665b4611a28abb57c910732/html5/thumbnails/19.jpg)
Ingresamos a los pedidoshttp://192.168.100.128/cgi-bin/badstore.cgi?action=viewprevious
Se puede observar que Se puede ver que tarjeta se utilizo,Cuando lo compro, a que costo lo adquirió