WebGoat - Primera parte

Durante esta semana hemos estado trabajando intensamente con la aplicación web WebGoat para conocer y estudiar las 10 vulnerabilidades web más explotadas en Internet. WebGoat ha sido actualizado recientemente según OWASP Top 10 donde se han implementado las 10 vulnerabilidades más conocidas, explotadas y peligrosas de estos últimos años. Por tanto, en este articulo, y en el siguiente, mostraremos un video de cómo podemos explotar cada una de las 10 vulnerabilidades de OWASP Top 10 con la finalidad de aprender, estudiarlas, y luego poder probarlas en proyectos de pentesting.

 

Admin lost password: En este ejemplo veremos los peligros de permitir que los usuarios recuperen sus contraseñas de administrador en una aplicación web. Este problema se debe a que el sistema no impone medidas adecuadas para proteger la recuperación de contraseñas de la cuenta de administrador, lo que permite que un atacante pueda acceder a la cuenta de administrador y obtener acceso no autorizado a la aplicación y a los datos que maneja.

Authentication Bypass: En este ejemplo veremos como un atacante puede sortear la autenticación y obtener acceso no autorizado a los recursos protegidos. Esto puede ocurrir debido a una variedad de factores, como la falta de validación de entrada adecuada, la gestión incorrecta de sesiones y cookies, o la implementación débil de políticas de autenticación y autorización.

 

Bypass front-end restrictions: En este ejemplo veremos una situación en la que las restricciones de seguridad impuestas por el front-end de una aplicación web pueden ser fácilmente eludidas por un atacante. El front-end de una aplicación web se refiere a la parte visible e interactiva de la aplicación que los usuarios interactúan directamente con ella. En muchos casos, el front-end se utiliza para imponer restricciones de seguridad, como limitar las opciones disponibles en un menú o evitar que los usuarios accedan a ciertas funciones o datos.

 

HTML tampering: En este ejemplo veremos una situación en la que un atacante puede modificar el código HTML de una página web, lo que podría permitirle realizar diversas actividades maliciosas. Un atacante podría, por ejemplo, cambiar el valor de un campo oculto en un formulario web para enviar información falsa al servidor. También podría modificar la apariencia de una página web para engañar a los usuarios y obtener información confidencial. Además, un atacante podría utilizar HTML tampering para insertar código malicioso en una página web, como un script que envía información a un servidor controlado por el atacante.

 

Espero que os haya gustado.

Autor : Miguel Sánchez Suárez