OWASP-A6Open Web Application Security Project

.

Riesgo por:Configuración Defectuosa de Seguridad

Alejandro Sarabia ArangoEstudiante: Administrador de Redes

OWASPUn estándar para la realización de verificaciones

de nivel de aplicación de seguridad

Es un proyecto de aplicación de código abierto de seguridad.

En la Maquina Virtual de BadStore Miramos la IP

de la Pagina

Se ingresa la IP de la pagina

Se Ingresa a la Pagina con esta secuencia ‘or1=1 limit 1,1 -- a esto es una condición verdadera

Se ingresa la condición verdadera en ambos campos

Luego Ingresamos como administrador de la cuenta

Ingresamos al Menú Administrativo por el action=admin

Ingresamos al Informe de Ventas

SE OBTIENE TODA LA INFORMACIÓNDETALLADA DE LA EMPRESA

Agregamos UsuariosPodemos Agregar, Eliminar y Obtener toda la Base de Datos de Información de los Usuarios

Ver Todos los Usuarios Listado de Usuarios Con Contraseñas

COMO DESIFRAMOS LAS CLAVES

http://md5.rednoize.com/

Seleccionamos la clave en md5 del Proveedor

Nos vamos para el MD5 y desciframos la clave

Ingresamos como Proveedor

Ingresamos el correo del Proveedor y la Clave que Desciframos

Se descubre la Información personal en Backup http://192.168.100.128/backup/

Se descubre las imágenes personales de la pagina http://192.168.100.128/images/

Se descubre los Procedimientos de los Proveedoreshttp://192.168.100.128/Procedimientos/

Se descubre los Procedimientos de los Negocioshttp://192.168.100.128/Negocios/

Ingresamos al Libro de visitas http://192.168.100.128/cgi-bin/badstore.cgi?action=doguestbook

Ingresamos a los pedidoshttp://192.168.100.128/cgi-bin/badstore.cgi?action=viewprevious

Se puede observar que Se puede ver que tarjeta se utilizo,Cuando lo compro, a que costo lo adquirió