OWASP-A6 Configuración Defectuosa de

Report
OWASP-A6
Open Web Application Security Project
.
Riesgo por:
Configuración Defectuosa de Seguridad
Alejandro Sarabia Arango
Estudiante: Administrador de Redes
OWASP
Un estándar para la realización de verificaciones
de
nivel de aplicación de seguridad
Es un proyecto de aplicación de código abierto
de seguridad.
En la Maquina
Virtual de BadStore Miramos la IP de
la Pagina
Se ingresa la IP de la pagina
Se Ingresa a la Pagina con esta
secuencia ‘or1=1 limit 1,1 -- a esto es
una condición verdadera
Se ingresa la
condición
verdadera en
ambos campos
Luego
Ingresamos
como
administrador
de la cuenta
Ingresamos al Menú Administrativo
por el action=admin
Ingresamos al Informe de Ventas
SE OBTIENE
INFORMACI
DETALLADA
EMPRESA
Agregamos Usuarios
Podemos Agregar, Eliminar y
Obtener toda la Base de Datos
de
Información de los Usuarios
Ver Todos los Usuarios
Listado de
Usuarios
Con Contraseñas
COMO DESIFRAMOS LAS CLAVES
Seleccionamos la clave
en md5 del Proveedor
Nos vamos para el MD5
y desciframos la clave
http://md5.rednoize.com/
Ingresamos como Proveedor
Ingresamos el correo
del
Proveedor y la Clave
que
Desciframos
Se descubre la Información personal
en Backup http://192.168.100.128/backup/
Se descubre las imágenes personales de la
pagina http://192.168.100.128/images/
Se descubre los Procedimientos de los
Proveedoreshttp://192.168.100.128/Procedimientos/
Se descubre los Procedimientos de los
Negocioshttp://192.168.100.128/Negocios/
Ingresamos al Libro de visitas http://192.168.100.128/cgibin/badstore.cgi?action=doguestbook
Ingresamos a los pedidoshttp://192.168.100.128/cgibin/badstore.cgi?action=viewprevious
Se puede
observar
que
Se puede
ver que
tarjeta se
utilizo,
Cuando lo
compro, a
que costo lo
adquirió

similar documents