Web Security Dojo – Auditoría de aplicaciones Web
Hola de nuevo, después de unas semanas de stand-by volvemos de nuevo con artículos interesantes que espero que sean de vuestro agrado.
Voy a empezar con un artículo sobre Dojo, mi última “adquisición” y en la que estoy inmerso desde hace ya algunos días.
Dojo es una distribución Linux (Ubuntu para ser más exactos) que incluye una serie de aplicaciones que hacen de ésta una herramienta perfecta para testear aplicaciones Web o para probar nuestros conocimientos en Web Security. Desarrollada por Maven Security, podéis encontrar más información así como enlaces de descarga en la página Web oficial de Maven Security:
http://www.mavensecurity.com/web_security_dojo/
Como ya he comentado antes, se trata de una plataforma que nos ofrece todas las aplicaciones necesarias para realizar pruebas de intrusión en aplicaciones Web. Dojo divide sus aplicaciones en dos grandes grupos: Tools y Targets (herramientas y objetivos).
En el grupo de las Tools nos podemos encontrar desde Proxies, herramientas automatizadas de testeo o herramientas de testeo exclusivas para SQL Injection, como es el caso de sqlmap. Entre los servidores Proxy destacar Webscarab, que también lo podéis instalar de forma independiente en vuestro sistema operativo. Se trata de un proyecto OWASP, open source obviamente y multiplataforma ya que está desarrollado en Java. Entre las herramientas automatizadas, de momento me quedo con w3af, desarrollado por Andrés Riancho, y que testea una url en busca de las vulnerabilidades más conocidas; SQL Injection, XSS, CSRF, osCommanding y muchos más. La herramienta sqlmap es capaz de encontrar posibles inyecciones SQL en una url e incluso descubrir información sensible de la base de datos.
En el grupo de los Targets nos podemos encontrar con el famoso Hacme Casino, WebGoat de OWASP, el Framework de w3af o Damn Vulnerable Web Application (DVWA) entre otros. Todos ellos ya preparados para ser probados y explotados. Además, para los ya iniciados, DVWA por ejemplo, cuenta con varios niveles de dificultad.
Todo esto y más, hace de Dojo una de las distribuciones más completas para auditar aplicaciones Web, yo diría que es el Backtrack del Web Security.
IMPORTANTE: La imagen VMWare me dió problemas, instalé la imagen del VirtualBox y sin problemas.
En próximos artículos veremos Dojo en acción, en concreto ya estoy preparando un artículo de SQL Injection Básico, usando Dojo.
¡Hasta pronto!