Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Diplomado Diseño y Administración de Base de Datos
Módulo 6. Seguridad de Bases de Datos
Los avatares para el juego dramático en entornos virtuales
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
1. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Diplomado
Diseño
y
Administración
de
Base
de
Datos
Módulo
6.
Seguridad
de
Bases
de
Datos
Elaboró:
Francisco
Medina
López
1
Actividad
No.
1.10:
Análisis
de
vulnerabilidades
con
VEGA
en
Kali
Linux
Antecedentes
En
seguridad
informática
una
vulnerabilidad
es
una
debilidad
que
puede
ser
explotada.
Vega(Escáner
de
Vulnerabilidades
Web)
es
una
herramienta
que
nos
permite
detectar
fácilmente
vulnerabilidades
en
aplicaciones
Web.
Esta
herramienta
esta
desarrollada
en
el
lenguaje
de
programació
Java
por
lo
que
funciona
perfectamente
en
sistemas
operativos
tipo
GNU/Linux
y
Windows.
Los
módulos
que
soporta
esta
herramienta
son:
Cross
Site
Scripting
(XSS)
SQL
Injection
Directory
Traversal
URL
Injection
Error
Detection
File
Uploads
Sensitive
Data
Discovery
Kali
Linux
es
una
distribución
de
Linux
avanzada
para
pruebas
de
penetración
y
auditorías
de
seguridad.
Es
una
completa
re-‐construcción
de
BackTrack
Linux
que
se
adhiere
completamente
a
los
estándares
de
desarrollo
de
Debian.
Entre
sus
principales
características
se
encuentran:
• Más
de
300
herramientas
de
pruebas
de
penetración,
• Gratuito
y
siempre
lo
será
• Amplio
apoyo
a
dispositivos
inalámbricos,
etc.
Requerimientos
Equipo
de
cómputo
con
el
sistema
operativo
Kali
Linux
correctamente
configurado
para
tener
acceso
a
la
Internet.
Servidor
web
objetivo
cuya
dirección
IP
será
proporcionada
por
el
instructor.
Para
el
caso
de
los
ejemplos
mostrados
en
este
documento
se
usará
la
dirección
IP
10.211.55.15
la
cual
deberá
ser
reemplazada
por
la
indicada
por
el
instructor.
2. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Diplomado
Diseño
y
Administración
de
Base
de
Datos
Módulo
6.
Seguridad
de
Bases
de
Datos
Elaboró:
Francisco
Medina
López
2
Instrucciones
1. Inicia
tu
equipo
de
cómputo
con
el
sistema
operativo
Kali
Linux
y
configura
los
parámetros
de
red
para
tener
acceso
a
la
Internet.
2. Abre
un
navegador
web
usando
el
ícono
,
ubicado
en
el
panel
superior
del
escritorio
de
Kali
Linux.
3. Introduce
la
dirección
IP
del
servidor
objetivo,
la
cual
fue
indicada
por
el
instructor.
4. Se
mostrara
una
aplicación
web,
la
cual
corresponde
a
un
sencillo
blog
de
imágenes.
Navega
en
el
sitio
para
familiarizarnos
con
el.
3. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Diplomado
Diseño
y
Administración
de
Base
de
Datos
Módulo
6.
Seguridad
de
Bases
de
Datos
Elaboró:
Francisco
Medina
López
3
5. Ejecuta
el
escáner
de
vulnerabilidades
web
VEGA,
dando
clic
en
Application
>
Kali
Linux
>
Web
Applications
>
Web
Vulnerability
Scanner
>
Vega
6. En
el
escáner
de
vulnerabilidades
VEGA,
da
clic
en
Scan
-‐>
Start
New
Scan
e
introduce
la
dirección
IP
del
servidor
objetivo
y
da
clic
en
el
botón
Finish.
4. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Diplomado
Diseño
y
Administración
de
Base
de
Datos
Módulo
6.
Seguridad
de
Bases
de
Datos
Elaboró:
Francisco
Medina
López
4
7. El
escáner
de
vulnerabilidades
VEGA
iniciará
el
proceso
de
identificación
de
vulnerabilidades.
8. Concluido
el
análisis,
observamos
que
se
identifican
varias
posibles
vulnerabilidades
en
el
servidor
objetivo,
entre
las
que
se
encuentra
Sql
Injection.
5. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Diplomado
Diseño
y
Administración
de
Base
de
Datos
Módulo
6.
Seguridad
de
Bases
de
Datos
Elaboró:
Francisco
Medina
López
5
9. Inspecciona
las
alertas
(Scan
Alerts)
dando
clic
en
el
ícono
hasta
mostrar
las
Alertas
indicadas
como
graves
(High).
10. Desplázate
hasta
ubicar
la
alerta
de
SQL
Injection
y
selecciónala.
En
el
panel
derecho
se
mostrará
la
URL
vulnerable
que
usaremos
para
realizar
el
ataque.
Anótala
en
tu
cuaderno
para
usarla
en
la
Actividad
No.
1.11:
Sql
Injection
con
sqlmap.
11. Cierra
el
escáner
de
vulnerabilidades
dando
clic
en
el
menú
File
-‐>
Exit.