COMO ABORDAR LOS RECURSOS EN EL ENTORNO DE APRENDIZAJE PRACTICO Debe ubicar el entorno de aprendizaje práctico y en el recurso lección desplegable dar clic (tal como se muestra en la figura). Este recurso le despliega en forma de menú izquierdo (navegación web) los recursos necesarios de manera ordenada para el aprendizaje práctico.
REQUERIMIENTOS TECNICOS Y SUGERENCIAS PARA ABORDAR ACTIVIDADES Seguridad en aplicaciones web_ 233008 REQUERIMIENTOS TECNICOS: Los siguientes requerimientos hacen referencia a aspectos técnicos en herramientas y conectividad (escenarios de trabajo) que se requieren para que el estudiante pueda bordar los ejercicios y temáticas propuestas en el aula. Son más que requerimientos también recomendaciones y sugerencias a tener en cuenta. Se parte del insumo que ya en estas instancias y nivel de posgrado, el estudiante debe contar con estos recursos y con algunas competencias básicas que adquirió en su formación de pregrado. No deben haber obstáculos ni excusas para tener dispuestas las herramientas necesarias, que están al alcance de todos y no son de difícil consecución ni configuración. Éxitos a todos: 1. CONECTIVIDAD A INTERNET: Preferiblemente conexión tipo ADSL. No se recomienda el uso de módems de operadores de telefonías celular. Tipo de conexión a internet. Recuperado de: http://www.canalaudiovisual.com/ezine/books/jirnet/2net52.htm Con acceso, junio de 2014 2. EQUIPOS DE COMPUTO: Es suficiente con un solo PC (puede ser portátil o de escritorio). Las configuraciones ótimas obedecen a que se disponga de un buen espacio de almacenamiento (100 Gb libres), 4 Gb de memoria Ram y buen recurso de proceso. Importanten que tenga acceso a lector de DVD, tarjeta Ethernet e inalámbrica. CON RESPECTO AL SOFTWARE: Como se requiere de instalar sistemas operativos, puede hacer lo en una partición del disco realizando un inicio dual. O usando máquinas virtuales: VIRTUAL BOX: Máquina virtual para simulación de sistemas operativos y aplicaciones. Puede visualizar en los siguientes documentos las instrucciones de instalación, descarga y montaje de sistemas operativos. http://download.virtualbox.org/virtualbox/usermanual.pdf http://bd.ub.edu/preservadigital/sites/bd.ub.edu.preservadigital/files/tutoriales_virtualbox.pdf CON RESPECTO A LA DESCARGA DE SISTEMAS OPERATIVOS Se descargarán imágenes ISO desde la página de los fabricantes o proyectos. Use un manejador de Torrents como Utorrent para la descarga. Puede visualizar el manual de uso en el siguiente Link: http://support.sarunasoftware.com/start/manual.pdf
INSTALACION DE APLICACIONES DE SIMULACION: DAMN VULNERABLE WEB APP Damn Vulnerable Web App (DVWA) es una aplicación web PHP / MySQL que es intencionalmente diseñada y programada vulnerable. Sus principales objetivos son ser una ayuda para los profesionales de la seguridad para poner a prueba sus habilidades y herramientas en un entorno legal, ayudar a los desarrolladores web a comprender mejor los procesos de seguridad de las aplicaciones web y los profesores / estudiantes de ayuda para enseñar / aprender seguridad de las aplicaciones web en un ambiente de la sala de clase. Lo puede descargar de este sitio: (la versión que se utilizó para estas prácticas) https://docs.google.com/file/d/0b7oqfm8ryfbtngtnefzrotngbja/edit?usp=sharing # WARNING! # Damn Vulnerable Web App es desarrollada de forma vulnerable! Se recomienda No subir a la carpeta HTML pública de su proveedor de alojamiento web o cualquier trabajo los contenidos de esta aplicación. Se debe instalar de forma local para las pruebas. Puede usar XAMPP en una máquina local dentro de su LAN que se utiliza exclusivamente para la prueba. Si algún servidor web se comopromete en su seguridad pro montar Damn en línea, es responsabilidad de quién lo haya montado y no de los que han creado la aplicación. # License # Damn Vulnerable Web App (DVWA) es software libre: usted puede redistribuirlo y / o modificarlo bajo los términos de la Licencia Pública General GNU publicada por la Fundación para el Software Libre, ya sea la versión 3 de la Licencia, o (a su elección) cualquier versión posterior. Damn Vulnerable Web App (DVWA) se distribuye con la esperanza de que sea útil, pero SIN NINGUNA GARANTÍA, incluso sin la garantía implícita de COMERCIALIZACIÓN o IDONEIDAD PARA UN PROPÓSITO PARTICULAR. Consulte la GNU General Public License para más detalles.
instalation> Default username = admin Default password = password Instalación de video: http://www.youtube.com/watch?v=gzij07jt8rm La forma más fácil de instalar DVWA es descargar e instalar "XAMPP" si usted no tiene una configuración de servidor web. (LO PUEDE INSTALAR EN DEBIAN CON LAS CONFIGURACIONES QUE YA TIENE) Puede descargar el video de instalación de acá: https://docs.google.com/file/d/0b7oqfm8ryfbtzf9kauxjrufvzms/edit?usp=sharing XAMPP soporta distribución para Linux, Solaris, Windows y Mac OS X. El paquete incluye el servidor web Apache, MySQL, PHP, Perl, un servidor FTP y phpmyadmin. XAMPP lo puede descargar desde: http://www.apachefriends.org/en/xampp.html O la versión que he usado para las prácticas la puede descargar de este sitio: https://docs.google.com/file/d/0b7oqfm8ryfbtcvlwbdhmtwffdda/edit?usp=sharing
Simplemente descomprimir dvwa.zip, coloque los archivos descomprimidos en la carpeta html pública, entonces dirija su navegador a http://127.0.0.1/dvwa/index.php
Para configurar la base de datos, simplemente haga clic en el botón Configuración en el menú principal, luego haga clic en el botón 'Crear / Cambiar base de datos'. Esto creará / restablecer la base de datos para usted con algunos datos de prueba. Puede verificar los usuarios creados en la base de datos de DVWA.
Actividades a Desarrollar: Seleccione solo una vulnerabilidad de la plataforma instalada DVWA para que demuestre el comportamiento de la misma y proponga una solución o corrección a la vulnerabilidad encontrada. Debe ser crítico, explicar el proceso y ser objetivo en los análisis que muestre. Finalmente si no desea realizar estas instalaciones sino directamente ir a las prácticas y pruebas ingrese a esta url donde les he isntalado al aplicación con las bases de datos creadas. 186.113.18.94/dvwa El usuario es: admin La clave es: password
WEBGOAT WebGoat es una aplicación web J2EE deliveradamente insegura, mantenida por OWASP y diseñada para enseñar lecciones de seguridad en aplicaciones Web. En cada lección, los usuarios deben demostrar su entendimiento de los problemas de seguridad al explotar la vulnerabilidad real en al aplicación WebGoat. Por ejemplo, en una de las lecciones el usuario debe usar SQL injection para robar números de tarjeta de crédito ficticios. La aplicación es un ambiente realista de enseñanza, que provee a los usuarios con pistas y código para explicar mejor la lección. La versión que se ha trabajado para esta práctica la puede descargar de esta url: https://docs.google.com/file/d/0b7oqfm8ryfbtdvdpywfzn2hbaxm/edit?usp=sharing O si prefiere descárguela directamente del sitio web del proyecte en la versión más reciente. WebGoat está escrito en Java y por lo tanto se instala en cualquier plataforma con una máquina virtual de Java. Hay programas de instalación para Linux, OS X Tiger y Windows. Una vez instalado, el usuario puede revisar las lecciones y rastrear su progreso con el tablero electrónico. Actualmente hay más de 30 lecciones, incluyendo las que lidian con los siguientes problemas: Secuencia de Comandos en Sitios Cruzados (Cross Site Scripting) Control de acceso Seguridad de Hilos Manipulación de campos ocultos Manipulación de parámetros Testing de sesiones inseguras Inyección SQL Inyección de SQL con números Inyección de SQL con cadenas de caracteres Servicios Web Autentificación fallida Los peligros de los comentarios HTML
LA INSTALACIÓN LA PUEDE REALIZAR EN WINDOWS O LINUX: Descarga del video de instalación: Para Windows: https://docs.google.com/file/d/0b7oqfm8ryfbtevbbstixvdzsouk/edit?usp=sharin gactividades a desarrollar: Para Linux: https://docs.google.com/file/d/0b7oqfm8ryfbtsdrwr194ckr3yuu/edit?usp=shari ng Plantee una lección de las que tiene la aplicación Describa en que consiste la práctica Demuestre la vulnerabilidad De la solución a la lección.