Transcript OWASP-A6 Configuración Defectuosa de
OWASP-A6 Open Web Application Security Project
.
Riesgo por: Configuración Defectuosa de Seguridad Alejandro Sarabia Arango Estudiante: Administrador de Redes
OWASP
Un estándar para la realización de verificaciones de nivel de aplicación de seguridad Es un proyecto de aplicación de código abierto de seguridad.
En la Maquina Virtual de BadStore Miramos la IP de la Pagina
Se ingresa la IP de la pagina
Se Ingresa a la Pagina con esta secuencia ‘or1=1 limit 1,1 -- a esto es una condición verdadera
Se ingresa la condición verdadera en ambos campos
Luego Ingresamos como administrador de la cuenta
Ingresamos al Menú Administrativo por el action=admin
Ingresamos al Informe de Ventas
SE OBTIENE TODA LA INFORMACIÓN DETALLADA DE LA EMPRESA
Agregamos Usuarios
Podemos Agregar, Eliminar y Obtener toda la Base de Datos de Información de los Usuarios
Ver Todos los Usuarios
Listado de Usuarios Con Contraseñas
COMO DESIFRAMOS LAS CLAVES
Seleccionamos la clave en md5 del Proveedor Nos vamos para el MD5 y desciframos la clave http://md5.rednoize.com
/
Ingresamos como Proveedor
Ingresamos el correo del Proveedor y la Clave que Desciframos
Se descubre la Información personal en Backup http://192.168.100.128/backup/
Se descubre las imágenes personales de la pagina http://192.168.100.128/images/
Se descubre los Procedimientos de los Proveedores h ttp://192.168.100.128/Procedimientos/
Se descubre los Procedimientos de los Negocios h ttp://192.168.100.128/Negocios/
Ingresamos al Libro de visitas http://192.168.100.128/cgi bin/badstore.cgi?action=doguestbook
Ingresamos a los pedidos http://192.168.100.128/cgi bin/badstore.cgi?action=viewprevious Se puede observar que Se puede ver que tarjeta se utilizo, Cuando lo compro, a que costo lo adquirió