Security in web applications and operating systems

El objetivo de esta tarea de laboratorio es estudiar algunas de las principales vulnerabilidades (verificación de campos ocultos, identificación débil de sesión) en aplicaciones web, estudiar algunos métodos básicos para llevar a cabo ataques y comprender el origen de estas vulnerabilidades y cómo evitarlas.

Qué aprenderá en la tarea

La tarea se realiza a través del entorno de aplicación WebGoat desarrollado por la organización OWASP (The Open Web Application Security Project) y programado en Java. Se trata de una aplicación de formación que contiene deliberadamente diversas formas de vulnerabilidades. .

La segunda aplicación que utilizará en la tarea es la aplicación ZAP (Zed Attack Proxy) de la organización Checkmarx. Se trata de una aplicación de tipo proxy que sirve como capa intermedia entre el navegador de Internet y el servicio de red del sistema operativo. Esta capa permite analizar y manipular los mensajes antes de enviarlos al servidor de destino; el navegador web ya no tiene influencia sobre el contenido de estos mensajes.

Las tareas continuas son las siguientes:

• Iniciar el entorno WebGoat.
• Validación (verificación) de parámetros
• Campos ocultos: análisis de campos ocultos en una página web
• Campos ocultos: modificación de campos ocultos
• Verificación de campos en el lado del cliente: búsqueda de formularios
• Verificación de campos en el lado del cliente: elusión de la verificación
• Gestión de sesiones y verificación: identificación de la sesión con cookies
• Gestión de sesiones y verificación: robo de sesión

El tiempo necesario para realizar la tarea de laboratorio es de 45 minutos como máximo.