Actividad: Realizar ataques SQL Injection a DVWA

Actividades[pic 1]

Actividad: Realizar ataques SQL Injection a DVWA

En la siguiente actividad debes descargar WebGoat, para realizar ataques utilizando la técnica de SQL injection con la aplicación SQLMap (instalada en Kali).

Para realizar este trabajo debes explicar todos los pasos a seguir para realizar los ataques SQL Inject con SQLmap.

Extensión máxima: 10 páginas (Georgia 11 e interlineado 1,5).

Introducción

Al inicio, la información de los sistemas se guardaban en archivos, en la actualidad, la información se guarda por lo general en bases de datos, y la mayoría de los gestores de bases de datos (oracle, postgres, mysql, sqlserver) comparten un lenguaje en general, SQL (Structured Query Language), lo que hace la inyección de SQL (SQL injection) una forma de hackeo tan utilizada, inclusive en la actualidad.

En este trabajo, primero realizar ataques de inyección de SQL hacia la aplicación DVWA, esto con el fin de comprobar cómo se pueden realizar. Posteriormente, intentaré realizar de forma similar, ataques en el ambiente de desarrollo de mi empresa, dicho ambiente utiliza Web2py, un framework tipo MVC para python, que se conecta a un gestor de base de datos postgres. Una de las particularidades de Web2py, es que se realizó tomando en cuenta el listado de la OWASP sobre problemas de seguridad en aplicaciones web.

Desarrollo

Como primera parte del ejercicio realizaré ataques de SQL injection en la aplicación DVWA, para esto basta con descargar la aplicacion de la siguiente URL: https://github.com/ethicalhack3r/DVWA/archive/master.zip

Dicho archivo se descomprime en nuestro directorio de sitios de nuestro servidor (en este caso apache) y obtenemos lo siguiente:

[pic 2]

[pic 3]

Al acceder por primera vez al sitio, nos mandará la ventana de configuraciones, para crear la base de datos a la que se conectara, para crear dicha base de datos únicamente damos click en el botón indicado.

[pic 4]

[pic 5]Una vez creada la base de datos, nos logueamos con los datos de acceso que se nos proporciona y nos vamos a la sección de SQL injection, que nos despliega la siguiente ventana.

Para efectos sencillos, el SQL injection, consiste en modificar los datos que se mandan en un formulario o en input’s, para insertar los comandos o sentencias que alteran el funcionamiento natural del programa.

El funcionamiento ordinario de la página es recibir un id a través del input que se muestra en la página y desplegar la información de respuesta que da la consulta en el servidor, como se muestra a continuación:

[pic 6]

Ahora, si en lugar el id, se mandan cadenas que contengan sentencias SQL, podremos alterar la respuesta del servidor, por ejemplo al introducir la siguiente cadena 1' or 1=1# nos trae lo siguiente:

[pic 7]

Ahora, para poner a prueba la seguridad del framework de web2py, intentaré realizar SQL Injection en la aplicación web que estamos desarrollando en mi organización, al ser una gran aplicación me limitaré a un formulario que es el formulario de login, que a su vez puede ser el más vulnerable, ya que trae información de inicio de sesión.

La pantalla de inicio es la siguiente:

En esta pantalla, podemos apreciar que se cuentan con api’s para iniciar sesión a través de nuestras cuentas de Facebook o Google, y la ventajas de estas es que la respectiva compañía se encarga de la seguridad de cada login y solo nos envían si el usuario está autenticado o no.

Ahora, como tercera opción, contamos con la posibilidad de crear una cuenta de data work, proporcionando únicamente un correo y una contraseña (ambos de tipo string).

Primera validación, encontramos que se valida el tipo de dato que se está introduciendo en el correo, por lo que seria mas dificil mandar codigo SQL, pero por lo que se puede apreciar en la parte de la contraseña, cambiando el tipo del input de password a text, nos mostrará lo que se coloca en este campo, y podremos comprobar que no se cuentan con las mismas validaciones que en el correo, pero al mandar los datos (con un correo válido y existente) nos despliega lo siguiente:

...