OWASP Broken Web Applications Project

owbaComo parte de la enseñanza de los cursos de Ethical Hacking que tengo la oportunidad de impartir, suelo hacer uso de aplicaciones o sistemas vulnerables, con el objetivo de poder recrear escenarios y que los participantes puedan no solo identificar fallos de seguridad, si no también poner en practica, diversas técnicas de explotación de vulnerabilidades y desarrollar un adecuado análisis de la razón por la cual se producen estos bugs.

OWASP Broken Web Applications Project  (OWASPBWA) sirve perfecto para este objetivo, ya que es un conjunto de aplicaciones web vulnerables que se distribuye en una máquina virtual que puede ser importada en VirtualBox por ejemplo.

OBWA es una maquina virtual que contiene instaladas aplicaciones web como WordPress, Jommla, phpBB2 entre otros proyectos como Webgoat, DVWA, Multidae, etc.

OWASPBWA

Lo más interesante desde el punto de vista académico, claro está 😀 es la gran cantidad de vulnerabilidades que podemos encontrar, basta con realizar un análisis con Nessus para darse cuenta de ello.

owaspbwa

owaspbwa

Dentro de las vulnerabilidades que se pueden explotar podemos citar algunas como :

WORDPRESS

CVE-2014-10021
WORDPRESS WP Symposium 14.11 shell upload
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-10021

CVE-2007-2426
high myGallery mygallerybrowser.php ‘myPath’
http://www.cvedetails.com/cve/CVE-2007-2426/

JOOMLA
CVE-2014-0793
Multiple cross-site scripting (XSS)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0793

phpBB2
CVE-2003-1215, CVE-2003-1216
SQL injection vulnerability
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1215

Entre muchas otras vulnerabilidades que se pueden encontrar.

Mas información :

Página del proyecto
https://code.google.com/p/owaspbwa/

Archivo OVA para importar en VirtualBox
http://sourceforge.net/projects/owaspbwa/files/1.1.1/

User Guide
https://code.google.com/p/owaspbwa/wiki/UserGuide

Vídeo de la conferencia de presentación
https://www.youtube.com/watch?v=cwjcfAgKqcg

Espero les sirva
Saludos
Juan Oliva
@jroliva

 

 

 

 

 

 

 

Anuncios
Esta entrada fue publicada en Centos, Debian, Hacking, Linux, Manuales y tutoriales, Ubuntu por jroliva. Guarda el enlace permanente.

Acerca de jroliva

Juan Oliva, es un consultor de seguridad informática y telefonía IP con 10 años de experiencia en el campo . Muy involucrado en proyectos de pruebas de penetración , análisis y explotación vulnerabilidades, pruebas de ingeniería social, seguridad física, revisión de código, entre otras tareas de seguridad informática. Así mismo, desarrolla proyectos de implementación y mantenimiento de VoIP, basadas en Asterisk y Elastix, proyectos de callcenter, soluciones en la nube y hosted PBX, Aseguramiento de plataformas Linux, Windows. Ha estado trabajando para una variedad de empresas en donde ha desarrollado proyectos para el estado peruano, así como para entidades privadas, nacionales y del extranjero, cuenta con certificaciones vigentes en Ethical hacking, Linux y telefonía IP. Es instructor de cursos de Ethical Hacking y certificaciónes como Linux Professional Institute y Elastix, donde ha tenido oportunidad de realizar capacitaciones en el Perú, así como en el extranjero. Es investigador de vulnerabilidades, y creador de contenidos, que son publicados en su blog personal jroliva.wordpress.com el cual mantiene desde hace mas de 6 años.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s