print $PAGE 2>/dev/null -rwxr-xr-- 1 ["uqbarun"] uqbar Nov 13 24 "/wiki/web-pentest.html"

Web pentest

Guías

• OTG
• WSTG o WASTG
• NIST SP 800-115

OTG vs WSRG

La Guía de Pruebas del OWASP (OTG, por sus siglas en inglés) y la Guía de Pruebas de Seguridad Web (WSTG, por sus siglas en inglés) son dos guías exhaustivas para la realización de pruebas de seguridad en aplicaciones web. Sin embargo, existen algunas diferencias clave entre ambas guías.

Característica	OTG	WSTG
Alcance	Cubre todos los aspectos de la seguridad de las aplicaciones web	Se centra en las pruebas de penetración
Profundidad	Visión general general	Instrucciones detalladas
Audiencia	Cualquier persona interesada en aprender sobre la seguridad de las aplicaciones web	Testers de penetración

Recopilación de información

WSTG-INFO-01: Fugas de información con motores de búsqueda

🎯 Objetivos

• Puntos de entrada (Footholds)
• Archivos que contienen nombres de usuario
• Directorios confidenciales
• Detección de servidor web
• Archivos vulnerables
• Servidores Vulnerables
• Error de mensajes
• Archivos que contienen información jugosa
• Archivos que contienen contraseñas
• Información confidencial de compras en línea

🛠️ Herramientas

• Google Hacking Database
• Shodan

WSTG-INFO-02: Fingerprint de servidor web

http://www.net-square.com/httprint_paper.html

Ataques:

• CAPEC-224: Fingerprinting
• CAPEC-312: Active OS Fingerprinting
• CAPEC-170: Web Application Fingerprinting
• WASC-45: Fingerprinting
• ATT&CK-T1082: System Information Discovery

Debilidades:

• CWE-200: Exposure of Sensitive Information to an Unauthorized Actor
• WASC-13: Information Leakage (Weakness)

🎯 Objetivo

• Hardware
• Tipo de servidor
• Versión del servidor

🛠️ Herramientas

• Netcraft, una herramienta en línea que escanea sitios web en busca de información, incluido el servidor web.
• Nikto, una herramienta de escaneo de línea de comandos de código abierto.
  • nikto -host <target>
• Nmap, una herramienta de línea de comandos de código abierto que también tiene una GUI, Zenmap.
  • nmap -sV --script fingerprint-strings <target>
• Shodan
• Alertas de Information Leakage en ZAP
• wappalyzer Herramienta en línea
• Firefox wappalyzer Add-on
• WhatWeb

WSTG-INFO-03: Fugas de información con metarchivos

🎯 Objetivo

Identificar rutas y funcionalidades ocultas o obfuscadas a través del análisis de archivos de metadatos, y extraer y mapear otra información que pueda conducir a una mejor comprensión de los sistemas en cuestión.

• robots.txt
• META Tags
• Sitemaps
• security.txt

🛠️ Herramientas

• Dev Tools del navegador web
• curl
• wget
• Robots/Spider/crwaler de ZAP
• Robots/Spider/crwaler de Burp Suite

WSTG-INFO-04: Enumerar aplicaciones

🎯 Objetivo

• urls, domninios y subdomnios
• software y puertos
• Virtual hosts

🛠️ Herramientas

• nslookup, permite consultar y obtener información de registros DNS y direcciones IP.
• dig, más avanzada y flexible para realizar consultas de DNS que nslookup.
• DNSdumpster, es un buscador en línea de dominios que proporciona información detallada sobre registros DNS y subdominios.
• Nmap, nmap –Pn –sT –sV –p0-65535 192.168.1.100
• Telnet, telnet 192.168.10.100 8000
• Nesus
• Nikto
  • nikto -host <target>
• vhost de Gobuster https://github.com/OJ/gobuster

WSTG-INFO-05: Fugas de información en el contenido

🎯 Objetivo

• Comentarios en html, css, js, etc.
• Fugas en código JS como Tokens y API keys.
• Source maps o depuradores front-end.

🛠️ Herramientas

• Dev Tools del navegador web
• curl
• wget
• Robots/Spider/crwaler de ZAP
• Robots/Spider/crwaler de Burp Suite
• waybackurls, da URLs de Wayback Machine

WSTG-INFO-06: Puntos de entrada

🎯 Objetivo

• API Endpoints y sus acciones HTTP (GET, POST, PUT, OPTION, DELETE)
• Respuestas HTTP HTTP 3xx, HTTP 403, HTTP 500.
• Parámetros de ruta /bogota/edificios/453
• Parámetros de consulta, Ej.: /bogota/edificios/salones?category=computación&debug=false
• Parámetros de body request, Ej.: { user:foo, pass:bar }
• Encabezados de respuestas
  • Del servidor: Server, X-Powered-By
  • Cookies: Set-Cookie
  • De seguridad: X-XSS-Protection, Access-Control-Allow-Origin, HTTP Strict Transport Security (SSL Stripping)

🛠️ Herramientas

• https://gitlab.com/kalilinux/packages/dirbuster.git
• Complete guide to HTTP Headers for securing websites (Cheat Sheet)
• Mozilla Observatory, es una herramienta que permite verificar el estado de los encabezados
• Pluggin OWASP ASD para ZAP y Brup Suite
  • https://github.com/secdec/attack-surface-detector-zap/wiki
• attack-surface-detector-cli

WSTG-INFO-06: Mapear rutas de ejecución

🎯 Objetivo

OWASP DirBuster https://gitlab.com/kalilinux/packages/dirbuster.git

###

1. Examine la versión del software. Detalles de la base de datos, el componente técnico de error, errores por los códigos de error al solicitar páginas no válidas.

2. Implementar técnicas como consultas inversas de DNS, transferencias de zonas de DNS, búsquedas de DNS basadas en la web.

3. Realice búsquedas de estilo de directorio y escaneo de vulnerabilidades, sondee para URL, utilizando herramientas como NMAP y Nessus .

4. Identifique el punto de entrada de la aplicación utilizando Burp Proxy , OWSAP ZAP, TemperIE, WebscarabTemper Data .

5. Mediante el uso de la herramienta tradicional de huellas dactilares como Nmap, Amap , realice TCP/ICMP y servicio de huellas dactilares.

6. Al solicitar una extensión de archivo común como. ASP, EXE, .HTML, .PHP , prueba de tipos de archivo/extensiones/directorios reconocidos.

7. Examine el código fuente de las páginas de acceso de la interfaz de la aplicación. Pruebas de autenticación

8. Verifique si es posible “reutilizar” la sesión después de cerrar la sesión. También verifique si la aplicación cierra automáticamente la sesión de un usuario que ha estado inactivo durante un cierto período de tiempo.

9. Verifique si alguna información confidencial permanece almacenada en la memoria caché del navegador.

10. Verifique e intente Restablecer la contraseña, mediante ingeniería social descifre preguntas secretas y adivinanzas.

11. Verifique si el mecanismo “Recordar mi contraseña” está implementado al verificar el código HTML de la página de inicio de sesión.

12. Compruebe si los dispositivos de hardware se comunican directamente y de forma independiente con la infraestructura de autenticación utilizando un canal de comunicación adicional.

13. Pruebe CAPTCHA para las vulnerabilidades de autenticación presentadas o no.

14. Verifique si se presentan preguntas/respuestas de seguridad débiles .

15. Una inyección SQL exitosa podría provocar la pérdida de la confianza del cliente y los atacantes pueden robar números de teléfono, direcciones y detalles de tarjetas de crédito. Colocar un firewall de aplicaciones web puede filtrar las consultas SQL maliciosas en el tráfico. Pruebas de autorización

16. Pruebe la manipulación de funciones y privilegios para acceder a los recursos.

17. Pruebe el recorrido de ruta realizando la enumeración de vectores de entrada y analice las funciones de validación de entrada presentadas en la aplicación web.

3.Prueba de templado de cookies y parámetros utilizando herramientas de araña web.

1. Pruebe la moderación de solicitudes HTTP y verifique si desea obtener acceso ilegal a los recursos reservados. Pruebas de gestión de la configuración

2. Verifique el directorio y el servidor de revisión de enumeración de archivos y la documentación de la aplicación. también, verifique las interfaces de administración de la infraestructura y la aplicación.

3. Analice el banner del servidor web y Realice un escaneo de red.

4. Verifique y verifique la presencia de Documentación antigua y Copia de seguridad y archivos de referencia, como códigos fuente, contraseñas, rutas de instalación.

4.verifique e identifique los puertos asociados con los servicios SSL/TLS usando NMAP y NESSUS .

5.Revise las OPCIONES del método HTTP usando Netcat y Telnet.

1. Pruebe los métodos HTTP y XST para las credenciales de usuarios legítimos.

2. Realice una prueba de administración de la configuración de la aplicación para revisar la información del código fuente, los archivos de registro y los códigos de error predeterminados. Pruebas de gestión de sesiones

3. Verifique las URL en el área restringida para probar la falsificación de solicitud de vista cruzada.

4. Pruebe las variables de sesión expuestas inspeccionando el cifrado y la reutilización del token de sesión, los servidores proxy y el almacenamiento en caché, GET&POST .

5. Recopilar una cantidad suficiente de muestras de cookies y analizar el algoritmo de muestra de cookies y falsificar una Cookie válida para realizar un Ataque.

6. Pruebe el atributo de la cookie utilizando servidores proxy de intercepción, como Burp Proxy, OWASP ZAP , o servidores proxy de intercepción de tráfico, como Temper Data.

7. Pruebe la Fijación de la sesión, para evitar sellar la sesión del usuario. (Secuestro de sesión) Pruebas de validación de datos

8. Realización de análisis de código fuente para errores de codificación de javascript.

9. Realice pruebas de inyección SQL Union Query, pruebas de inyección SQL estándar, pruebas de consulta SQL ciegas, utilizando herramientas como sqlninja, sqldumper, sql power injector , etc.

10. Analice el código HTML, pruebe el XSS almacenado, aproveche el XSS almacenado, utilizando herramientas como XSS proxy, Backframe, Burp Proxy, OWASP, ZAP, XSS Assistant.

11. Realice pruebas de inyección de LDAP para obtener información confidencial sobre usuarios y hosts.

12. Realice pruebas de inyección de IMAP/SMTP para acceder al servidor de correo backend.

13. Realice pruebas de inyección XPATH para acceder a la información confidencial

14. Realice pruebas de inyección XML para conocer información sobre la estructura XML.

15. Realice pruebas de inyección de código para identificar el error de validación de entrada.

16. Realice pruebas de desbordamiento de búfer para la información de la pila y la memoria del montón y el flujo de control de la aplicación.

17. Pruebe la división HTTP y el contrabando de cookies e información de redirección HTTP. Pruebas de denegación de servicio

18. Envíe una gran cantidad de solicitudes que realicen operaciones de base de datos y observe cualquier desaceleración y nuevos mensajes de error.

19. Realice un análisis manual del código fuente y envíe un rango de entrada de diferentes longitudes a las aplicaciones.

20. Prueba de ataques de comodines SQL para pruebas de información de aplicaciones. Las redes empresariales deben elegir los mejores servicios de prevención de ataques DDoS para garantizar la protección contra ataques DDoS y prevenir su red.

21. La prueba para el usuario especifica la asignación de objetos si hay un número máximo de objetos que la aplicación puede manejar.

22. Ingrese un número extremadamente grande del campo de entrada utilizado por la aplicación como contador de bucle. Proteja el sitio web de futuros ataques. También verifique el costo del tiempo de inactividad del ataque DDOS de su empresa.

23. Use un script para enviar automáticamente un valor extremadamente largo para que el servidor pueda registrar la solicitud.

Mira también

• Mozilla WebAppSec/Web Security Verification
• WSTG-v4.2 - 4 - Web Application Security Testing

> Exit code: 1 █