Page 25 - SEGURIDAD_INFORMÁTICA_2020_COLOR
P. 25

Seguridad informática – Prácticas de laboratorio         23                   Seguridad informática – Prácticas de laboratorio   24

 -Una máquina virtual (VM) con la distribución  OWASPinstalada.  La cual se   4.0 ATAQUE POR FUERZA BRUTA
 descarga desde el siguiente enlace:  www.owasp.org, o en su defecto desde:
 https://sourceforge.net/projects/owaspbwa/files. Para esta tarea, se recomiendan   El proyecto se enfoca a la explicación tanto de la creación de diccionarios para
 dos cosas. La primera consiste en descargar la versión 1.2 de BWA (Broken Web   ataques por fuerza bruta, como de la formulación de dicho ataque. Un ataque de
 Apps) y la segunda, configurar el adaptador de red (desde la VM) en modo NAT.
        fuerza bruta es aquel que consiste en intentar averiguar una contraseña probando una
        gran cantidad de palabras contenidas  en archivos de texto conocidos como
        diccionarios de claves.


        Elementos para el ataque

        Entre las diferentes herramientas para efectos de ataque por fuerza bruta, por lo
        general se necesitan tres elementos: un diccionario (WordList), una herramienta
        para su ejecución  y, una interfaz de usuario (a modo texto o gráfica). Para la
        generación de diccionarios se recomienda el uso de herramientas como Cewly John
 Página Web del proyecto OWASP BWA.   the Ripper. En tanto que, para la ejecución del ataque, se requerirá de THC-Hydra.
        Esta última consiste en una herramienta que crackea contraseñas de un servicio de
 Esta VM por tanto, va a fungir como la víctima u objetivo (denominado también   networking.
 host de pruebas), que tras ser ejecutada pone a disposición del Pentester una dirección
 IP para el acceso  al  proyecto  OWASP Broken Web Apps,  con el cual, se  da   Generación de diccionarios
 comienzo al test de vulnerabilidades en aplicaciones Web.
        Para poder crear un WordList (con el uso de Cewl y John theRipper), se debe efectuar
        un análisis del sitio o página Web elegido. Lo anterior con el propósito de recopilar
        todas las palabras o combinaciones relacionadas con su contexto. Y de esa manera
        generar un diccionario. En este caso ha de utilizarse WackoPickode OWASP.

        1. Se iniciará con Cewl. Para invocar WackoPicko, debe abrir la terminar y escribir:
        cewl  –w cewl_Wacko.txt  –c  –m 5 http://192.168.x.x/WackoPicko.  Donde  –w
        especifica el archivo de salida, -c, desglosa el número de palabras encontradas, y –
        m, es el número mínimo de dígitos que se establecerá para la búsqueda de dichas
 Apertura del proyecto OWASP BWA desde un navegador Web.   palabras.





 Cuadernillo de trabajo
   20   21   22   23   24   25   26   27   28   29   30