Upload
sancha-limas
View
221
Download
2
Tags:
Embed Size (px)
Citation preview
OWASP-A6Open Web Application Security Project
.
Riesgo por:Configuración Defectuosa de Seguridad
Alejandro Sarabia ArangoEstudiante: Administrador de Redes
OWASPUn estándar para la realización de verificaciones
de nivel de aplicación de seguridad
Es un proyecto de aplicación de código abierto de seguridad.
En la Maquina Virtual de BadStore Miramos la IP
de la Pagina
Se ingresa la IP de la pagina
Se Ingresa a la Pagina con esta secuencia ‘or1=1 limit 1,1 -- a esto es una condición verdadera
Se ingresa la condición verdadera en ambos campos
Luego Ingresamos como administrador de la cuenta
Ingresamos al Menú Administrativo por el action=admin
Ingresamos al Informe de Ventas
SE OBTIENE TODA LA INFORMACIÓNDETALLADA DE LA EMPRESA
Agregamos UsuariosPodemos Agregar, Eliminar y Obtener toda la Base de Datos de Información de los Usuarios
Ver Todos los Usuarios Listado de Usuarios Con Contraseñas
COMO DESIFRAMOS LAS CLAVES
http://md5.rednoize.com/
Seleccionamos la clave en md5 del Proveedor
Nos vamos para el MD5 y desciframos la clave
Ingresamos como Proveedor
Ingresamos el correo del Proveedor y la Clave que Desciframos
Se descubre la Información personal en Backup http://192.168.100.128/backup/
Se descubre las imágenes personales de la pagina http://192.168.100.128/images/
Se descubre los Procedimientos de los Proveedoreshttp://192.168.100.128/Procedimientos/
Se descubre los Procedimientos de los Negocioshttp://192.168.100.128/Negocios/
Ingresamos al Libro de visitas http://192.168.100.128/cgi-bin/badstore.cgi?action=doguestbook
Ingresamos a los pedidoshttp://192.168.100.128/cgi-bin/badstore.cgi?action=viewprevious
Se puede observar que Se puede ver que tarjeta se utilizo,Cuando lo compro, a que costo lo adquirió