OWASP-A6 Open Web Application Security Project

.

Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de Redes

OWASP

Un estándar para la realización de verificaciones de nivel de aplicación de seguridad Es un proyecto de aplicación de código abierto de seguridad.

En la Maquina Virtual de BadStore Miramos la IP de la Pagina

Se ingresa la IP de la pagina

Se Ingresa a la Pagina con esta secuencia ‘or1=1 limit 1,1 -- a esto es una condición verdadera

Se ingresa la condición verdadera en ambos campos

Luego Ingresamos como administrador de la cuenta

Ingresamos al Menú Administrativo por el action=admin

Ingresamos al Informe de Ventas

SE OBTIENE TODA LA INFORMACIÓN DETALLADA DE LA EMPRESA

Agregamos Usuarios

Podemos Agregar, Eliminar y Obtener toda la Base de Datos de Información de los Usuarios

Ver Todos los Usuarios

Listado de Usuarios Con Contraseñas

COMO DESIFRAMOS LAS CLAVES

Seleccionamos la clave en md5 del Proveedor Nos vamos para el MD5 y desciframos la clave http://md5.rednoize.com

/

Ingresamos como Proveedor

Ingresamos el correo del Proveedor y la Clave que Desciframos

Se descubre la Información personal en Backup http://192.168.100.128/backup/

Se descubre las imágenes personales de la pagina http://192.168.100.128/images/

Se descubre los Procedimientos de los Proveedores h ttp://192.168.100.128/Procedimientos/

Se descubre los Procedimientos de los Negocios h ttp://192.168.100.128/Negocios/

Ingresamos al Libro de visitas http://192.168.100.128/cgi bin/badstore.cgi?action=doguestbook

Ingresamos a los pedidos http://192.168.100.128/cgi bin/badstore.cgi?action=viewprevious Se puede observar que Se puede ver que tarjeta se utilizo, Cuando lo compro, a que costo lo adquirió