Glosario de DVWA

Autor: | Última modificación: 16 de noviembre de 2022 | Tiempo de Lectura: 3 minutos
Temas en este post: ,

En este glosario de DVWA, veremos las definiciones de los términos más importantes para aprender a utilizar este entorno de práctica de hacking web.

Glosario de DVWA

DVWA

Damn Vulnerable Web Application (DVWA) es una aplicación web vulnerable que se ha desarrollado de este modo a propósito, con el fin de permitirle a los pentesters practicar diferentes técnicas de hacking web de manera legal. Es decir, es una aplicación diseñada específicamente para ejecutar distintos tipos de ciberataques en ella, con cuatro niveles de dificultad: bajo, intermedio, alto e imposible.

DVWA es una aplicación basada en el lenguaje de programación PHP y bases de datos de tipo MySQL. No obstante, algunas de sus vulnerabilidades también permiten ejecutar código JavaScript en el navegador de la «víctima» del ataque.

Para aprender a instalar Damn Vulnerable Web App en Kali Linux, visita nuestro tutorial sobre cómo hacerlo. Recuerda siempre instalar esta app en servidores de una máquina virtual y nunca utilizando tu ordenador como host local.

Para iniciar sesión en la app, todo lo que debes hacer es ingresar las credenciales:

  • Nombre de usuario: admin
  • Contraseña: password

Estas credenciales por defecto son, como notarás, deliberadamente vulnerables.

Glosario de DVWA 1

DVWA Security

Al iniciar sesión en Damn Vulnerable Web App, verás una serie de pestañas en el lado izquierdo. En la parte inferior izquierda, encontrarás una de ellas que tiene una gran importancia, pues desde allí se configura el nivel de seguridad de la aplicación. De este modo, puedes aumentar la dificultad y, por ende, la complejidad de los ciberataques.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

En el nivel de seguridad «Impossible«, la página no presenta ninguna vulnerabilidad y demuestra cómo es una página web bien protegida contra los ciberataques para PHP y MySQL.

Glosario de DVWA 2

Brute Force

Un ataque de fuerza bruta es la automatización de una serie de pruebas de ensayo y error que le permiten al atacante hallar las credenciales correctas para ingresar a una cuenta. Es decir, es un método que sirve para adivinar nombres de usuarios y contraseñas fáciles, como «admin» y «password«. Este tipo de ataques se pueden realizar desde programas como Burp Suite, cuya versión de pago permite incluir diccionarios para optimizar el tiempo de duración del ataque.

Glosario de DVWA 3

Command Injection

En este glosario de DVWA veremos diferentes tipos de inyección de código. La inyección de comandos se refiere a un ciberataque que consiste en ejecutar comandos de Linux en el servidor de la página web. Esto es posible,cuando la aplicación no está programada para validar los inputs de los usuarios que se utilizan para ejecutar código en el servidor. Esta falta de validación le permite al atacante concatenar comandos Bash y hacerle daño al servidor.

Glosario de DVWA 4

CSRF

El cross-site request forgery (CSRF) es un ciberataque que se basa en capturar una petición hecha a la aplicación y ejecutarla en el navegador de un usuario. De este modo, es posible ejecutar acciones en la app por medio de enlaces maliciosos. Por ejemplo, es posible cambiarle la contraseña a un usuario con tan solo lograr que haga clic en un enlace. Esto es posible cuando las páginas web no piden la contraseña anterior para renovar la clave.

Glosario de DVWA 5

File Upload

Una vulnerabilidad de subida de ficheros le permite al atacante subir archivos maliciosos a la aplicación. Por ejemplo, un método común de explotación de este tipo de vulnerabilidad, es el de instalar webshells en las bases de datos de las aplicaciones. Las webshells son códigos que le permiten al atacante ejecutar comandos en el servidor de la app. Si se suben a una aplicación que no valida el tipo de archivos que adjuntan los usuarios, entonces se puede acceder a estos programas fácilmente.

Glosario de DVWA 6

XSS

Otro tipo de inyección de código que veremos en este glosario de DVWA es el cross-site scripting.

El cross-site scripting (XSS) es un tipo de ciberataque que consiste en ejecutar código JavaScript en el navegador de una víctima con el fin de realizar tareas maliciosas. Esto es posible por medio de inputs en la aplicación, que permiten concatenar comandos en JavaScript, ya que estos se utilizan para ejecutar código en el navegador del usuario.

Glosario de DVWA 7

¿Cómo aprender más?

Ya hemos visto este glosario de DVWA con los principales ciberataques para ejecutar en esta app. Si quieres aprender más sobre pentesting web, en KeepCoding tenemos el curso ideal para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en tan solo 7 meses. Lee nuestros casos de éxito y anímate a ser uno de ellos. ¡Inscríbete ahora y cambia tu vida!

[email protected]

¿Trabajo? Aprende a programar y consíguelo.

¡No te pierdas la próxima edición del Aprende a Programar desde Cero Full Stack Jr. Bootcamp!

 

Prepárate en 4 meses, aprende las últimas tecnologías y consigue trabajo desde ya. 

 

Solo en España hay más de 120.400 puestos tech sin cubrir, y con un sueldo 11.000€ por encima de la media nacional. ¡Es tu momento!

 

🗓️ Próxima edición: 13 de febrero

 

Reserva tu plaza descubre las becas disponibles.