Page 24 - SEGURIDAD_INFORMÁTICA_2020_COLOR_Protegido
P. 24
Seguridad informática – Prácticas de laboratorio 23 Seguridad informática – Prácticas de laboratorio 24
-Una máquina virtual (VM) con la distribución OWASPinstalada. La cual se 4.0 ATAQUE POR FUERZA BRUTA
descarga desde el siguiente enlace: www.owasp.org, o en su defecto desde:
https://sourceforge.net/projects/owaspbwa/files. Para esta tarea, se recomiendan El proyecto se enfoca a la explicación tanto de la creación de diccionarios para
dos cosas. La primera consiste en descargar la versión 1.2 de BWA (Broken Web ataques por fuerza bruta, como de la formulación de dicho ataque. Un ataque de
Apps) y la segunda, configurar el adaptador de red (desde la VM) en modo NAT.
fuerza bruta es aquel que consiste en intentar averiguar una contraseña probando una
gran cantidad de palabras contenidas en archivos de texto conocidos como
diccionarios de claves.
Elementos para el ataque
Entre las diferentes herramientas para efectos de ataque por fuerza bruta, por lo
general se necesitan tres elementos: un diccionario (WordList), una herramienta
para su ejecución y, una interfaz de usuario (a modo texto o gráfica). Para la
generación de diccionarios se recomienda el uso de herramientas como Cewly John
Página Web del proyecto OWASP BWA. the Ripper. En tanto que, para la ejecución del ataque, se requerirá de THC-Hydra.
Esta última consiste en una herramienta que crackea contraseñas de un servicio de
Esta VM por tanto, va a fungir como la víctima u objetivo (denominado también networking.
host de pruebas), que tras ser ejecutada pone a disposición del Pentester una dirección
IP para el acceso al proyecto OWASP Broken Web Apps, con el cual, se da Generación de diccionarios
comienzo al test de vulnerabilidades en aplicaciones Web.
Para poder crear un WordList (con el uso de Cewl y John theRipper), se debe efectuar
un análisis del sitio o página Web elegido. Lo anterior con el propósito de recopilar
todas las palabras o combinaciones relacionadas con su contexto. Y de esa manera
generar un diccionario. En este caso ha de utilizarse WackoPickode OWASP.
1. Se iniciará con Cewl. Para invocar WackoPicko, debe abrir la terminar y escribir:
cewl –w cewl_Wacko.txt –c –m 5 http://192.168.x.x/WackoPicko. Donde –w
especifica el archivo de salida, -c, desglosa el número de palabras encontradas, y –
m, es el número mínimo de dígitos que se establecerá para la búsqueda de dichas
Apertura del proyecto OWASP BWA desde un navegador Web. palabras.
Cuadernillo de trabajo
