Why Choose Edgenexus?

TRY

Azure Test Drive

Free Trial

PRODUCTS

Load Balancer

Global Server Load Balancing

Web Application Firewall

EADP – EDGENEXUS APPLICATION DELIVERY PLATFORM

SOLUTIONS

Containerisation

DevOps

IoT

NFV

SDN

Security

APPLICATIONS

Load Balance Always on VPN

Direct Access

TMG Replacement

Exchange

Lync

Skype for Business

Sharepoint

Remote Desktop Services

Oracle E-Business Suite

RESOURCES

READ:

Compare Load Balancers

Compare to Azure Load Balancer

Compare F5 and Edgenexus Load Balancer 

Case Studies

Data Sheets

Blog

FAQs

WATCH:

Tutorials

Webinars

SUPPORT

Contact us

User Guides

Prueba de la aplicación web Damn Vulnerable

Prueba de conducción
dvwa logo
PRUEBA GRATUITA
CONTACTO
APOYA

¿Qué es?

Bienvenido a nuestra prueba de funcionamiento: este documento te proporcionará la información que necesitas para sacar el máximo partido a la prueba de funcionamiento de Damn Vulnerable Web App (DVWA) en Azure. Para los que no estén familiarizados, ¿qué es una DVWA? Es una aplicación web diseñada para ser intencionadamente vulnerable con fines educativos y de pruebas de seguridad.

  • DVWA es una aplicación web PHP/MySQL, cuyo principal objetivo es ser una ayuda para que los profesionales de la seguridad pongan a prueba sus habilidades y herramientas en un entorno legal. Hemos intentado que la implantación de la DVWA sea lo más sencilla posible y hemos construido un complemento de funciones que puede aplicarse fácilmente al equilibrador de carga edgeNEXUS ALB-X.
looxy logo

Looxy.io es nuestra herramienta de pruebas externa recomendada. Puede ejecutar una gran variedad de pruebas de Seguridad (y otras pruebas). Y lo mejor de todo, ¡es gratis! looxy.io

¿Cómo funciona?

El ALB-X tiene la capacidad de ejecutar aplicaciones en contenedores que pueden unirse directamente o utilizando el proxy del equilibrador de carga. Esta imagen tiene 1 complemento ya desplegado, pero siempre puedes ir a la Appstore y desplegar más.

Resumen de conectividad

Las máquinas virtuales desplegadas en la nube Azure utilizan direccionamiento IP interno privado (IP “s NAT” ed) del mismo modo que se desplegarían en un entorno de centro de datos estándar.

  • Para acceder al recurso a través de la Internet pública, se realiza una función NAT desde la dirección IP pública asignada a la dirección IP privada de la máquina virtual. Se asigna una dirección IP al aparato y se utilizan diferentes puertos para acceder a los distintos recursos. El diagrama siguiente muestra cómo se comunican las distintas funciones. DVWA Online, Maldita Aplicación Web Vulnerable.
dvwa Connectivity

Nombre de host Docker / dirección IP y conectividad del servicio IP

Las aplicaciones Add-On desplegadas en ALB-X se comunican con ALB-X a través de una interfaz de red docker0 interna. Se les asignan automáticamente direcciones IP del pool interno docker0.

Se configura un nombre de host para cada instancia de la aplicación Add-On a través de la GUI de ALB-X antes de iniciar la aplicación. El ALB-X es capaz de resolver la dirección IP docker0 para la aplicación utilizando este nombre de host interno. Utiliza siempre el nombre de host cuando te dirijas a los contenedores de la aplicación: ¡las IP pueden cambiar!

  • Los servicios IP que utilizan la dirección IP privada Azure eth0 se configuran en el ALB-X para permitir el acceso externo a la aplicación complementaria. Esto permite utilizar la función de proxy inverso de ALB-X para realizar la descarga SSL y la traducción de puertos cuando sea necesario. Estos son todos los puertos abiertos ALB-X GUI Gestión: 27376 DVWA: 80

Acceder a la interfaz gráfica de usuario de Prueba de conducción

Cuando solicitas una prueba de conducción, se crea una nueva instancia del dispositivo de prueba DVWA en Azure.

  • Una vez que se haya iniciado, se te indicará el nombre de host de Internet para poder acceder a la GUI Web de la plataforma ALB-X, así como la combinación única de nombre de usuario y contraseña.
Test drive DVWS

Para ello, te recomendamos que utilices el navegador Chrome. Acceder al servidor

https://host nombre:27376

  • Como utilizamos un certificado SSL local para el acceso de gestión, se te pedirá en tu navegador que aceptes la alerta de seguridad. Verás la pantalla de preconfiguración de los servicios IP una vez que te conectes.
DVWS VIP

Complementos ALB-X

Haz clic en Biblioteca en el menú de la izquierda y selecciona Complementos. Aquí puedes ver el Complemento DVWA que se ha desplegado en la plataforma ALB-X.

Se ha configurado con un contenedor o nombre de host dvwa1 y puedes ver la dirección IP dinámica docker0 172.x.x.x que se asignó cuando se inició la aplicación.

  • Ten en cuenta que en el entorno Azure no se utilizan los botones de acceso a la GUI del Complemento. No dudes en hacer clic en el resto de la interfaz GUI de ALB-X para familiarizarte.

Maldita aplicación web vulnerable

Como lo que te interesa es la funcionalidad de la DVWA, ahora tendría sentido echar un vistazo a la GUI de la DVWA. El DVWA, como puedes ver en el nombre de los servicios IP, se ejecuta en el puerto 80.

  • Cuando introduzcas la dirección de tu prueba de conducción en tu navegador, aparecerá la página de Configuración del DVWA.
DVWA DatabaseSetup

Haz clic en Crear / Restablecer base de datos

DVWS Create/Reset Database
  • Accede al DVWA con las credenciales por defecto admin / contraseña.
DVWA login
  • Ahora estarás conectado a la DVWA como administrador.
DVWA welcome page

El nivel de seguridad por defecto de la DVWA es “Imposible”, por lo que no presentará ninguna vulnerabilidad.

  • Debes establecer el nivel en bajo haciendo clic en el menú Seguridad del DVWA, seleccionando “Bajo” en el menú desplegable y haciendo clic en enviar. El DVWA ya está preparado y listo para ser utilizado como objetivo de pruebas de vulnerabilidad.

Inyección de comandos

Intentaremos explotar una de las vulnerabilidades del DVWA. Como podemos ver, hay una página en el DVWA en la que podemos hacer ping a cualquier dirección IP. Comprobemos si el DVWA realiza la validación de los parámetros de entrada en modo de seguridad “Bajo”. Introduce “127.0.0.1; cat /etc/passwd” en el campo de entrada de la dirección IP.

Voilà, hemos inyectado con éxito un comando arbitrario y obtenido una lista de usuarios registrados en el sistema operativo.

  • Hay muchos recursos en línea sobre el uso de la DVWA que pueden ayudarte a mejorar tus conocimientos sobre la seguridad de las aplicaciones web. Agradecemos tus comentarios y estaremos encantados de ayudarte a configurar tu propia implementación WAF de producción. Si necesitas ayuda, envía un correo electrónico a pre-sales@edgenexus.io
dvwa logo

Aplicación Web Damn Vulnerable (DVWA)

Un servidor web de destino configurable que puede utilizarse para probar tu WAF y tu herramienta de ataque

Prueba de conducción →

zap

Herramienta de ataque a aplicaciones web ZAP

Web Application Attack Tool es un escáner de vulnerabilidades basado en OWASP ZAP

Prueba de conducción →

Nos encantaría saber de ti

  • La gente dice que estamos bien informados y que somos amables, pero tú puedes juzgarlo.

Contacta con nosotros

0808 1645876

(866) 376-0175

support@edgenexus.io

No te fíes de nuestra palabra: haz una prueba gratuita

Hardware, software o incluso tu propia imagen en línea con un entorno de pruebas completo.
Sólo tienes que decirnos lo que necesitas aquí

Contacta con nosotros

Pruébalo ahora

Ayuda

PRODUCTOS

SOLUCIONES

APLICACIONES

RECURSOS

SOCIOS

TIENDA DE APLICACIONES

Copyright © 2021 Edgenexus Limited.