En este glosario de DVWA, veremos las definiciones de los términos más importantes para aprender a utilizar este entorno de práctica de hacking web.
Glosario de DVWA
DVWA
Damn Vulnerable Web Application (DVWA) es una aplicación web vulnerable que se ha desarrollado de este modo a propósito, con el fin de permitirle a los pentesters practicar diferentes técnicas de hacking web de manera legal. Es decir, es una aplicación diseñada específicamente para ejecutar distintos tipos de ciberataques en ella, con cuatro niveles de dificultad: bajo, intermedio, alto e imposible.
DVWA es una aplicación basada en el lenguaje de programación PHP y bases de datos de tipo MySQL. No obstante, algunas de sus vulnerabilidades también permiten ejecutar código JavaScript en el navegador de la «víctima» del ataque.
Para aprender a instalar Damn Vulnerable Web App en Kali Linux, visita nuestro tutorial sobre cómo hacerlo. Recuerda siempre instalar esta app en servidores de una máquina virtual y nunca utilizando tu ordenador como host local.
Para iniciar sesión en la app, todo lo que debes hacer es ingresar las credenciales:
- Nombre de usuario: admin
- Contraseña: password
Estas credenciales por defecto son, como notarás, deliberadamente vulnerables.
DVWA Security
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaAl iniciar sesión en Damn Vulnerable Web App, verás una serie de pestañas en el lado izquierdo. En la parte inferior izquierda, encontrarás una de ellas que tiene una gran importancia, pues desde allí se configura el nivel de seguridad de la aplicación. De este modo, puedes aumentar la dificultad y, por ende, la complejidad de los ciberataques.
En el nivel de seguridad «Impossible«, la página no presenta ninguna vulnerabilidad y demuestra cómo es una página web bien protegida contra los ciberataques para PHP y MySQL.
Brute Force
Un ataque de fuerza bruta es la automatización de una serie de pruebas de ensayo y error que le permiten al atacante hallar las credenciales correctas para ingresar a una cuenta. Es decir, es un método que sirve para adivinar nombres de usuarios y contraseñas fáciles, como «admin» y «password«. Este tipo de ataques se pueden realizar desde programas como Burp Suite, cuya versión de pago permite incluir diccionarios para optimizar el tiempo de duración del ataque.
Command Injection
En este glosario de DVWA veremos diferentes tipos de inyección de código. La inyección de comandos se refiere a un ciberataque que consiste en ejecutar comandos de Linux en el servidor de la página web. Esto es posible,cuando la aplicación no está programada para validar los inputs de los usuarios que se utilizan para ejecutar código en el servidor. Esta falta de validación le permite al atacante concatenar comandos Bash y hacerle daño al servidor.
CSRF
El cross-site request forgery (CSRF) es un ciberataque que se basa en capturar una petición hecha a la aplicación y ejecutarla en el navegador de un usuario. De este modo, es posible ejecutar acciones en la app por medio de enlaces maliciosos. Por ejemplo, es posible cambiarle la contraseña a un usuario con tan solo lograr que haga clic en un enlace. Esto es posible cuando las páginas web no piden la contraseña anterior para renovar la clave.
File Upload
Una vulnerabilidad de subida de ficheros le permite al atacante subir archivos maliciosos a la aplicación. Por ejemplo, un método común de explotación de este tipo de vulnerabilidad, es el de instalar webshells en las bases de datos de las aplicaciones. Las webshells son códigos que le permiten al atacante ejecutar comandos en el servidor de la app. Si se suben a una aplicación que no valida el tipo de archivos que adjuntan los usuarios, entonces se puede acceder a estos programas fácilmente.
XSS
Otro tipo de inyección de código que veremos en este glosario de DVWA es el cross-site scripting.
El cross-site scripting (XSS) es un tipo de ciberataque que consiste en ejecutar código JavaScript en el navegador de una víctima con el fin de realizar tareas maliciosas. Esto es posible por medio de inputs en la aplicación, que permiten concatenar comandos en JavaScript, ya que estos se utilizan para ejecutar código en el navegador del usuario.
Ya hemos visto este glosario de DVWA con los principales ciberataques para ejecutar en esta app. Si quieres aprender más sobre pentesting web, en KeepCoding tenemos el curso ideal para ti. Ingresa a nuestro Bootcamp Ciberseguridad y especialízate en tan solo 7 meses. Lee nuestros casos de éxito y anímate a ser uno de ellos. ¡Inscríbete ahora y cambia tu vida!