Si bien he hecho énfasis en otros artículos que la mejor forma de prevenir una vulnerabilidad es específicamente conocer cómo el atacante puede valerse de ella, no siempre tenemos ejemplos o sitios a parte de los propios en dónde podamos hacer pruebas de forma legal. Ya he mencionado en otros artículos también sendas soluciones del tipo de aplicaciones premeditadamente vulnerables que podemos instalar en nuestros servidores de desarrollo con las cuales hacer las prácticas necesarias para descubrir las diferentes formas en que dichas vulnerabilidades pueden ser aprovechadas.
He mencionado proyectos muy interesantes como Google Gruyere y el famoso OWASP Webgoat, herramientas muy interesantes con expreso fin didáctico en el área de la seguridad de aplicaciones web, pero existe otra de este tipo de aplicaciones que ha merecido en los últimos meses menciones muy interesantes en las revistas y blogs específicos que tratan el tema. Esta aplicación no es otra que Damn Vulnerable Web App (DVWA) que no es más que una aplicación en PHP y MySQL que como las anteriores explora el aprendizaje en el área de seguridad de aplicaciones desde una aplicación deliberadamente vulnerable, permitiendo que los programadores o técnicos aprendan y manejen los conceptos y procesos en un entorno completamente legal.
Una de las ventajas más importantes quizás de DVWA es que a diferencia de las anteriores una de sus presentaciones viene ya en formato de imagen ISO (LIVE CD), mediante la cual usted podrá quemar un CD de arranque en el cual ya se encuentra instalada la aplicación y todo el entorno LAMP (Linux, Apache, MySQL y PHP) necesario para que usted puede arrancar en su PC o en un entorno virtual una imagen lista para experimentar y aprender con ella de inmediato sin necesidad de tener que instalar todo el entorno o adaptar la aplicación a un entorno existente.
Sin embargo si usted es de aquellos a quienes les gusta conocer los procedimientos de la instalación o está obligado a instalarla en un servidor existente, entonces también podrá utilizar el formato convencional de aplicación web simple.
DVWA, es un proyecto bien logrado, y sin duda un muy buen aliado para los que como utilizamos este tipo de aplicaciones como ayuda en los cursos que dictamos de seguridad de aplicaciones web.
Hasta la próxima...
Este blog está dirigido a todos los programadores y desarrolladores en general, en él encontrarán consejos útiles en las respectivas áreas del desarrollo de aplicaciones, especialmente de Aplicaciones y Soluciones Web sobre diferentes entornos y plataformas móviles como Windows Phone y Android.
Suscribirse a:
Comentarios de la entrada (Atom)
Entradas populares
-
Es importante cuando se habla de amenazas en aplicaciones web y otras, establecer un sistema de cálculo estándar que permita a los interesad...
-
Si bien las inyecciones LDAP no son muy comunes, pueden ser una de las más peligrosas vulnerabilidades en la web. Para empezar necesitamos...
-
Es un pequeño dolor de cabeza convertir en tiempo real los URLs de una aplicación al formato que actualmente se utiliza para lograr una mayo...
-
Si el video de OWASP del anterior post sobre HSTS (HTTP Strict Transport Security) los dejó con algo de espectativas acerca de la implementa...
-
Como ya es sabido una de las mayores amenazas que rondan las aplicaciones web es el XSS o Cross Site Scripting, y algunas de sus múltiples v...
-
Volvemos a mencionar en este artículo la importancia del OWASP (Open Web Application Security Project) y en especial esta vez mencionaremos...
-
Estuve probando la herramienta que desarrolló Google con el fin de realizar escaneos de seguridad a nuestras aplicaciones web. Su nombre es ...
-
A veces es necesario tener a mano soluciones rápidas y eficientes para evitar tener que releer todo un libro buscando aquel truco que sabemo...
-
Una de las amenazas a las que hace pocos años no se les hizo mucho caso fue el Cross Site Request Forgery conocido por las siglas XSRF o CSR...
-
Uno de los proyectos más interesantes de OWASP en referencia a la generación de código web seguro, es precisamente el que se denomina ESAPI ...
No hay comentarios.:
Publicar un comentario