elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Para que practiques
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Para que practiques  (Leído 6,276 veces)
zrenttys

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Para que practiques
« en: 20 Diciembre 2009, 16:28 pm »

Bueno esto es una aplicación php/mysql llena de vulnerabilidades, en donde puedes practicar desde encontrar estas vulnerabilidades hasta poder explotarlas, espero poder ayudar en su aprendizaje.
h**p://www.dvwa.co.uk/download.php
En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Para que practiques
« Respuesta #1 en: 20 Diciembre 2009, 17:55 pm »

Citar
[font='Times New Roman']Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a legal environment, help web developers better understand the processes of securing web applications and aid teachers/students to teach/learn web application security in a class room environment.[/font]
Regards


En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Para que practiques
« Respuesta #2 en: 20 Diciembre 2009, 21:11 pm »

aaaah que buena onda, me lo bajaré aver que tal está :P
En línea

braulio--
Wiki

Desconectado Desconectado

Mensajes: 896


Imagen recursiva


Ver Perfil WWW
Re: Para que practiques
« Respuesta #3 en: 20 Diciembre 2009, 21:49 pm »

En el nivel de high security hay alguna prueba explotable?
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Para que practiques
« Respuesta #4 en: 20 Diciembre 2009, 21:53 pm »

Le encontré un fallo de diseño, un error que permite crear pruebas de concepto para ejecutar código arbitrario en una prueba con seguridad alta donde se supone que no sebe haber ejecución de ningún tipo :P lo que pasa es que el mismo panel de administración desde donde controlas el nivel de seguridad contiene csrf asi que puedes ejecutar un csrf que baje la prueba a bajo nivel y creas un segundo iframe con la ejecución de la vulnerabilidad en bajo nivel.

También encontré una vulnerabilidad de tipo file disclosure donde no debería haberla
http://127.0.0.1/dvwa/vulnerabilities/view_source.php?id=fi&security=../../../setup
Se ejecuta incluso con phpids activado.

Ejemplo:


Pero igual está entrete, está super fácil encontrar cada bug en cada sección de las vulnerabilidades hasta el nivel medio que se supone que uno puede ejecutar dicha vulnerabilidad.

Si a alguien le interesa podríamos discutir entre todos cuales son las respuestas de cada vuln y como pueden solucionarse pero primero quiero ver que los usuarios del foro puedan comenzar a hacerlo pos si mismos y a medida que lo vayan encontrando lo vamos discutiendo :P

Aunque de todas formas el fin de ese sitema por lo que veo es testear vulnerabilidades con phpids.
« Última modificación: 20 Diciembre 2009, 23:42 pm por WHK » En línea

zrenttys

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Para que practiques
« Respuesta #5 en: 21 Diciembre 2009, 01:16 am »

Me parece la propuesta de WHK, creo ques una buena forma de aprender por si mismos.
  :P
Saludos!
En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Para que practiques
« Respuesta #6 en: 21 Diciembre 2009, 01:29 am »

Vale, me apunto xD.
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
Castg!
Wiki

Desconectado Desconectado

Mensajes: 1.191



Ver Perfil WWW
Re: Para que practiques
« Respuesta #7 en: 21 Diciembre 2009, 05:02 am »

Le encontré un fallo de diseño, un error que permite crear pruebas de concepto para ejecutar código arbitrario en una prueba con seguridad alta donde se supone que no sebe haber ejecución de ningún tipo :P lo que pasa es que el mismo panel de administración desde donde controlas el nivel de seguridad contiene csrf asi que puedes ejecutar un csrf que baje la prueba a bajo nivel y creas un segundo iframe con la ejecución de la vulnerabilidad en bajo nivel.

También encontré una vulnerabilidad de tipo file disclosure donde no debería haberla
http://127.0.0.1/dvwa/vulnerabilities/view_source.php?id=fi&security=../../../setup
Se ejecuta incluso con phpids activado.

Ejemplo:


Pero igual está entrete, está super fácil encontrar cada bug en cada sección de las vulnerabilidades hasta el nivel medio que se supone que uno puede ejecutar dicha vulnerabilidad.

Si a alguien le interesa podríamos discutir entre todos cuales son las respuestas de cada vuln y como pueden solucionarse pero primero quiero ver que los usuarios del foro puedan comenzar a hacerlo pos si mismos y a medida que lo vayan encontrando lo vamos discutiendo :P

Aunque de todas formas el fin de ese sitema por lo que veo es testear vulnerabilidades con phpids.


el porq:

http://localhost/dvwa-1.0.6/dvwa/vulnerabilities/view_source.php?id=fi&security=../../view_source

jaja, esta bueno el coso, aunq al ser malo no tengo ganas de pensar, voy a ver que hago.
En línea

tragantras


Desconectado Desconectado

Mensajes: 465


Ver Perfil
Re: Para que practiques
« Respuesta #8 en: 23 Diciembre 2009, 01:29 am »

me apunto! [cojo sitio :D ]
En línea

Colaboraciones:
1 2
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines