You are on page 1of 11

1.1.

Laboratorio
Para hacer el proceso del laboratorio primero debemos descargar e instalar la
herramienta w3af de la siguiente manera:

1) apt-get update: actualiza la lista de paquetes disponibles y sus


versiones.

2) se instalarán los paquetes de Python con el siguiente comando

3) descargamos la aplicación con el siguiente enlace que se introduce en la


terminal

4) entramos a los controles de dependencia de Python


5) editamos las siguientes dependencias

Agregamos la siguiente dependencia esmre, 0,3,1

6) editamos la dependencia de la mac


7) buscamos la carpeta w3af con el comando ls

Entramos a la
carpeta w3af

o Al ejecutar el comando = ./w3af_console no muestra que debemos


instalar los siguientes paquetes

o Se encontró un error en las ediciones de pendencias


Error de dependencia encontrado

o Con el siguiente comando entramos a las configuraciones de requerimientos.py

Los paquetes fueron instalados correctamente

Al corre el w3af nos muestra


que falta un paquete

0Al ejecutar el comando npm install -g retire nos muestra que no se encuentra
y esto quiere decir que falta la instalación del nodejs que es un entorno en tiempo
de ejecución multiplataforma, de código abierto, para la capa del servidor basado
en el lenguaje de programación ECMAScript, asíncrono, con I/O de datos en una
arquitectura orientada a eventos y basado en el motor V8 de Google.
8) Descargamos el node.js con el siguiente link en la terminal

9) Después de haber descargado el node.js procedemos a instalarlo con el


siguiente comando

10) Y ahora si procedemos a instalar el paquete que hace falta de la


aplicación w3af con el siguiente comando
11) Después de haber instalado el ultimo paquete corremos la aplicación
con el siguiente comando ./w3af_console

Vemos que fue instalada correctamente

12) Con el comando help nos muestras las diferentes opciones que
podemos realizar con la herramienta w3af
13) Listar y usar perfiles de escaneo.

Bruteforce: Controles de forma de fuerza bruta o de autenticación básica que


utilizan credenciales predeterminadas. Para ejecutar este perfil, establezca la
URL de destino en el recurso donde se encuentra el control de acceso y luego
haga clic en Iniciar.
Audit_high_risk: Realice una exploración para identificar solo las
vulnerabilidades con mayor riesgo, como Inyección de SQL, Comandos de SO,
Cargas de archivos inseguras, etc.
Full_audit: Este perfil realiza una auditoría completa del sitio web de destino,
utilizando solo el complemento web_spider para el rastreo.
OWASP_TOP10: El Proyecto de seguridad de aplicaciones web abiertas
(OWASP) es una comunidad abierta y gratuita en todo el mundo centrada en
mejorar la seguridad del software de aplicaciones. OWASP buscó y publicó las
diez fallas de seguridad más comunes. Esta búsqueda de perfil para este top 10
fallas de seguridad. Para obtener más información sobre las fallas de seguridad:
http://www.owasp.org/index.php/OWASP_Top_Ten_Project
Fast_scan: Realice una exploración rápida del sitio de destino, utilizando solo
unos pocos complementos de descubrimiento y los complementos de auditoría
más rápidos.
Empty_profile: Este es un perfil vacío que puede utilizar para iniciar una nueva
configuración.
Web_infrastucture: Utilice todas las técnicas disponibles en w3af para tomar
huellas dactilares de la infraestructura web remota.
Full_audit_spider_man: Realice un descubrimiento manual con el
complemento spider_man y luego explore el sitio en busca de vulnerabilidades
conocidas.
Sitemap: Utilice diferentes técnicas en línea para crear un mapa del sitio rápido
de la aplicación web de destino. Este complemento solo funcionará si tienes
acceso a Internet y la aplicación web de destino está siendo rastreada por Yahoo!
14) Con el perfil use hacemos el escaneo con el siguiente comando use
fast_scan

Los complementos configurados por el perfil de escaneo se han habilitado y


sus opciones configuradas.
Configure las URL de destino e inicie el análisis.

15) Configuramos la URL de destino con la opción target

16) verificó la página existente


17) Establecer un valor de parámetro. (set) y ponemos establemos la
dirección de la pagina de la siguiente forma set target
www.facebook.com

18) despues de haber guardado audito la página con le plugins audit


19) guardamos e iniciamos (start)