Como tarea en el curso de Seminario de Sistemas 1 nos dejaron escanear las vulnerabilidades de algún sitio web del país, así que decidí escanear guatecompras.net porque es un sitio de mucha importancia en la política del país y el valor de la información que maneja es altísimo.
Realice el escaneo con el software Acunetix Web Vulnerability Scanner, estos son los pasos que seguí para configurar el escaneo.
Acunetix, es una aplicación que nos ayuda a verificar si nuestro sitio es vulnerable ante cualquier tipo de ataque por ejemplo Inyección SQL, XCC, etc.
Lo primero es elegir es tipo de escaneo que se desea realizar, yo elegí scan single website
En la siguiente pantalla del asistente hay que esperar un rato a que detecte la información del servidor, después podemos elegir optimizar el escaneo a algunas tecnologías, para este caso yo elegí optimizar para asp.net y asp porque en estas tecnologías esta basado el sitio de guatecompras
Luego en las opciones de escaneo deje las opciones por defecto.
Después esta la pantalla de información de login por si es necesario iniciar sesión en el sitio para realizar el escaneo, esta opción desde luego no la utilice yo.
Por ultimo nos muestra un resumen
Y empieza el escaneo
Se tardo mucho en realizar el escaneo pero después de esperar tanto estos fueron los resultados:
Como podemos observar en los resultados el sitio guatecompras.gt esta lleno de vulnerabilidades de alto riesgo.
Los ataques que podrían realizarse a esta pagina son de Inyección SQL y XSS. Miremos que lo mas fácil seria con XSS ya que tiene 142 vulnerabilidades de este tipo.
El ataque Inyección SQL consiste en modificar las consultas ingresando nuevas partes de la consulta en los campos donde se ingresan los parámetros de esta.
El ataque XSS consiste en enviar un script malicioso a la página, ocultándolo entre solicitudes legítimas.
No hay comentarios.:
Publicar un comentario